Kritischer Security-Patch 23.8.4 für ConnectWise ScreenConnect behebt Lücke zur Ausführung von externem Code

ConnectWise veröffentlichte am 20. November 2023 den Patch v23.8.5, der zwei kritische Sicherheitslücken schließt:
  • CVE-2023-47256: ConnectWise ScreenConnect-Server mit Version 23.8.4 und niedriger erlauben lokalen Benutzern die Verbindung zu beliebigen Relay-Servern durch implizites Vertrauen in Proxy-Einstellungen.
  • CVE-2023-47257: ConnectWise ScreenConnect-Server mit Version 23.8.4 und niedriger ermöglichen die Ausführung von Fremdcode durch einen Man-In-The-Middle-Angriff mit manipulierten Nachrichten.

Aufgrund der Möglichkeit der Ausführung von externem Code wird dieser Patch als kritisch eingestuft.

Wer ist betroffen?

Betroffen sind alle ConnectWise ScreenConnect-Server mit der Version 23.8.4 und niedriger.

Weitere Informationen finden sich in dieser offiziellen Mitteilung von ConnectWise: