شرکت کانکتوایز (ConnectWise)، یک آسیبپذیری مهم را در نرمافزار ScreenConnect برطرف کرده است.
نسخه 25.2.3 و نسخههای قبل از آن این نرمافزار دسترسی از راه دور از آسیبپذیری مذکور متأثر میشوند.
این آسیبپذیری که به آن شناسه CVE-2025-3935 تخصیص داده شده، از نحوه پردازش نادرست دادههای ViewState در فرمهای وب مبتنی بر ASP.NET ناشی میشود و در شرایط خاص، میتواند امکان اجرای کد دلخواه را بهصورت از راه دور (Remote Code Execution) برای مهاجم فراهم کند.
شدت CVE-2025-3935، بالا (8.1 از 10) اعلام شده است.
بهمنظور سوءاستفاده از این ضعف امنیتی، مهاجم میتواند با تولید یک ViewState مخرب و تزریق آن به سرور آسیبپذیر، کدی با سطح دسترسی بالا اجرا نماید. این حمله نیاز به احراز هویت ندارد و از طریق شبکه و بدون آنکه نیاز به تعامل کاربر داشته باشد قابل اجراست. با این حال، پیچیدگی اکسپلویت CVE-2025-3935 نسبتاً بالا ارزیابی شده است.
این آسیبپذیری، در نسخه2025.4 نرمافزار ScreenConnect مرتفع شده است. در این نسخه، قابلیت ViewState غیرفعال و وابستگی به آن حذف شده است تا از بروز چنین تهدیدی جلوگیری شود.
به کلیه راهبران سامانههایی که از نسخههای آسیبپذیر استفاده میکنند، قویاً توصیه میشود در اسرع وقت نسبت به بهروزرسانی نرمافزار خود به آخرین نسخه اقدام نمایند.
جزییات بیشتر در لینک زیر قابل دریافت و مطالعه است:
https://www.connectwise.com/company/trust/security-bulletins/screenconnect-security-patch-2025.4