Vulnerabilidad en ConnectWise Control (CVE-2023-25719)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-74
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
13/02/2023
Última modificación:
19/06/2025
Descripción
ConnectWise Control anterior a 22.9.10032 (anteriormente conocido como ScreenConnect) no puede validar los parámetros proporcionados por el usuario, como el parámetro h de Bin/ConnectWiseControl.Client.exe. Esto da como resultado datos reflejados e inyección de código malicioso en un ejecutable descargado. El ejecutable se puede utilizar para ejecutar consultas maliciosas o como vector de denegación de servicio. NOTA: este registro CVE trata solo de los parámetros, como el parámetro h (este registro CVE no trata sobre la edición separada de archivos ejecutables firmados que se supone que tienen configuraciones únicas en las instalaciones de los clientes).
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:connectwise:control:*:*:*:*:*:*:*:* | 22.9.10032 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://cybir.com/2022/cve/hijacking-connectwise-control-and-ddos/
- https://m.youtube.com/watch?v=fbNVUgmstSc&pp=0gcJCf0Ao7VqN5tD
- https://www.connectwise.com/blog/cybersecurity/the-importance-of-responsible-security-disclosures
- https://cybir.com/2022/cve/hijacking-connectwise-control-and-ddos/
- https://www.connectwise.com
- https://www.connectwise.com/blog/cybersecurity/the-importance-of-responsible-security-disclosures
- https://www.huntress.com/blog/clearing-the-air-overblown-claims-of-vulnerabilities-exploits-severity