ConnectWise ha lanzado actualizaciones de software para abordar dos fallas de seguridad en su software de acceso y escritorio remoto ScreenConnect, incluido un error crítico que podría permitir la ejecución remota de código en los sistemas afectados.
El vulnerabilidadesque actualmente carecen de identificadores CVE, se enumeran a continuación:
- Omisión de autenticación mediante una ruta o canal alternativo (puntuación CVSS: 10,0)
- Limitación incorrecta de un nombre de ruta a un directorio restringido, también conocido como «recorrido de ruta» (puntuación CVSS: 8,4)
La compañía consideró crítica la gravedad de los problemas, citando que «podrían permitir la capacidad de ejecutar código remoto o impactar directamente datos confidenciales o sistemas críticos».
Ambas vulnerabilidades afectan las versiones 23.9.7 y anteriores de ScreenConnect, con correcciones disponibles en la versión 23.9.8. Las fallas fueron reportadas a la empresa el 13 de febrero de 2024.
Si bien no hay evidencia de que las deficiencias hayan sido explotadas en la naturaleza, se recomienda a los usuarios que ejecutan versiones autohospedadas o locales que actualicen a la última versión lo antes posible.
«ConnectWise también proporcionará versiones actualizadas de las versiones 22.4 a 23.9.7 para el problema crítico, pero recomienda encarecidamente que los socios actualicen a la versión 23.9.8 de ScreenConnect», dijo ConnectWise.