Vulnerabilidad en ConnectWise Control (CVE-2023-25718)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/02/2023
Última modificación:
19/06/2025
Descripción
En ConnectWise Control hasta 22.9.10032 (anteriormente conocido como ScreenConnect), después de firmar un archivo ejecutable, se pueden agregar instrucciones adicionales sin invalidar la firma, como instrucciones que dan como resultado ofrecer al usuario final un archivo ejecutable (diferente) controlado por el atacante. Es posible que el usuario final permita que se realice la descarga y ejecución de este archivo. Hay opciones de configuración de ConnectWise Control que agregan mitigaciones. NOTA: esto puede superponerse a CVE-2023-25719. NOTA: la posición del proveedor es que esta supuesta vulnerabilidad representa una "falta fundamental de comprensión del comportamiento de firma del código Authenticode".
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:connectwise:control:*:*:*:*:*:*:*:* | 22.9.10032 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://cybir.com/2022/cve/connectwise-control-dns-spoofing-poc/
- https://m.youtube.com/watch?v=fbNVUgmstSc&pp=0gcJCf0Ao7VqN5tD
- https://www.connectwise.com/blog/cybersecurity/the-importance-of-responsible-security-disclosures
- https://cybir.com/2022/cve/connectwise-control-dns-spoofing-poc/
- https://www.connectwise.com
- https://www.connectwise.com/blog/cybersecurity/the-importance-of-responsible-security-disclosures
- https://www.huntress.com/blog/clearing-the-air-overblown-claims-of-vulnerabilities-exploits-severity