A ConnectWise lançou atualizações de software para corrigir duas falhas de segurança em seu software ScreenConnect de acesso e desktop remoto, incluindo um bug crítico que poderia permitir a execução remota de código nos sistemas afetados.

As vulnerabilidades, que atualmente não possuem identificadores CVE, são listadas como um Bypass de autenticação usando um caminho ou canal alternativo (pontuação CVSS: 10.0) e uma Limitação inadequada de um caminho para um diretório restrito, (pontuação CVSS: 8.4).

A empresa considerou a gravidade dos problemas como crítica, citando que “poderiam permitir a capacidade de executar código remoto ou impactar diretamente dados confidenciais ou sistemas críticos”. Ambas as vulnerabilidades afetam as versões do ScreenConnect 23.9.7 e anteriores, com correções disponíveis na versão 23.9.8.

As falhas foram relatadas à empresa em 13 de fevereiro de 2024. Embora não haja evidências de que as deficiências tenham sido exploradas, recomenda-se que os usuários que executam versões auto-hospedadas ou locais atualizem para a versão mais recente o mais rápido possível. “A ConnectWise também fornecerá versões atualizadas dos lançamentos 22.4 até 23.9.7 para o problema crítico, mas recomenda fortemente que os parceiros atualizem para a versão ScreenConnect 23.9.8”, disse a ConnectWise.