74/67 (IT) ประจำวันพฤหัสบดีที่ 22 กุมภาพันธ์ 2567
ConnectWise แจ้งเตือนถึงช่องโหว่ระดับ Critical จำนวน 2 รายการในการเข้าถึง desktop ระยะไกลใน ScreenConnect ดังนี้
– CWE-288 Authentication bypass using an alternate path or channel (CVSS score 10)
– CWE-22 Improper limitation of a pathname to a restricted directory (“path traversal”) (CVSS score 8.4)
ช่องโหว่ทั้งสองถูกรายงานเมื่อวันที่ 13 กุมภาพันธ์ 2567 ในช่องทางการเปิดเผยช่องโหว่ของบริษัทผ่านทาง ConnectWise Trust Center เนื่องจากช่องโหว่มีความเสี่ยงสูงที่จะตกเป็นเป้าหมายของการโจมตี ซึ่งส่งผลกระทบต่อ ScreenConnect 23.9.7 และก่อนหน้า โดยทาง ConnectWise แนะนำให้ทำการอัปเดตเวอร์ชัน 23.9.8 ทันที
แหล่งข่าว https://securityaffairs.com/159416/security/connectwise-fixed-critical-bugs.html