远程管理工具ConnectWise发布ScreenConnect 25.8安全更新,修补编号CVE-2025-14265的漏洞。官方指出,漏洞在特定条件下可能导致未经授权访问组态数据,或让攻击者在服务器端安装未受信任的扩展组件,增加系统遭不当修改的风险。官方表示目前没有发现遭到利用的证据,且要触发相关场景需具备已授权或管理者层级访问权限,因此不属于无需登录即可发动的攻击形态。
官方披露的通用漏洞评分系统CVSS 3.1基准分数为9.1,对机密性、完整性与可用性均属高影响,不过由于需要高权限才能利用,因此其风险主要落在已取得授权账号或管理权限的场景。该漏洞对应CWE-494,也就是下载程序代码时缺乏完整性检查,代表与扩展组件安装流程的信任与验证机制相关。
ConnectWise强调该漏洞仅影响ScreenConnect的服务器端组件,主控端(Host)与连接用户端(Guest Clients)不在影响范围。不过在修补建议上,官方仍要求地端环境将连接用户端更新至相同版本。
受影响版本为25.8之前的ScreenConnect,而此次25.8更新主要强化服务器端验证,并在安装扩展组件时加入完整性检查,同时提升平台整体安全性与稳定性,以降低未受信任扩展组件被安装的可能性,也避免组态数据在特定条件下遭不当访问。
对于采用screenconnect.com云计算托管的客户,不论是独立使用,或集成远程监控与管理平台ConnectWise Automate及其他同类平台,ConnectWise表示其ScreenConnect服务器端已完成更新,用户无需额外操作即可套用修补。另针对Automate合作伙伴使用的hostedrmm.com托管环境,官方也指出已更新完成。
官方建议地端部署升级至ScreenConnect 25.8,并将用户端一并更新至相同版本。ConnectWise同时提醒,要是授权已不在维护期间,需先完成授权升级,才能安装最新受支持版本。针对采用Automate地端并集成ScreenConnect的场景,ConnectWise提出较保守的更新顺序,先确认Automate的ScreenConnect扩展组件版本已更新至4.4.0.16,再进行服务器端升级,以降低集成环境在更新过程中出现兼容性问题的机率。
ConnectWise将此事件严重性评为重要等级,并优先度则是中等2级。官方建议依既有变更流程调度更新即可,但最慢不应超过30天。
