ترمیم یک آسیب‌پذیر مهم در نرم‌افزار ScreenConnect

شرکت کانکت‌وایز (ConnectWise)، یک آسیب‌پذیری مهم را در نرم‌افزار ScreenConnect برطرف کرده است.

نسخه 25.2.3 و نسخه‌های قبل از آن این نرم‌افزار دسترسی از راه دور از آسیب‌پذیری مذکور متأثر می‌شوند.

این آسیب‌پذیری که به آن شناسه CVE-2025-3935 تخصیص داده شده، از نحوه پردازش نادرست داده‌های ViewState در فرم‌های وب مبتنی بر ASP.NET ناشی می‌شود و در شرایط خاص، می‌تواند امکان اجرای کد دلخواه را به‌صورت از راه دور (Remote Code Execution) برای مهاجم فراهم کند.

شدت CVE-2025-3935، بالا (8.1 از 10) اعلام شده است.

به‌منظور سوءاستفاده از این ضعف امنیتی، مهاجم می‌تواند با تولید یک ViewState مخرب و تزریق آن به سرور آسیب‌پذیر، کدی با سطح دسترسی بالا اجرا نماید. این حمله نیاز به احراز هویت ندارد و از طریق شبکه و بدون آنکه نیاز به تعامل کاربر داشته باشد قابل اجراست. با این حال، پیچیدگی اکسپلویت CVE-2025-3935 نسبتاً بالا ارزیابی شده است.

این آسیب‌پذیری، در نسخه2025.4  نرم‌افزار ScreenConnect مرتفع شده است. در این نسخه، قابلیت ViewState غیرفعال و وابستگی به آن حذف شده است تا از بروز چنین تهدیدی جلوگیری شود.

به کلیه راهبران سامانه‌هایی که از نسخه‌های آسیب‌پذیر استفاده می‌کنند، قویاً توصیه می‌شود در اسرع وقت نسبت به به‌روزرسانی نرم‌افزار خود به آخرین نسخه اقدام نمایند.

جزییات بیشتر در لینک زیر قابل دریافت و مطالعه است:

https://www.connectwise.com/company/trust/security-bulletins/screenconnect-security-patch-2025.4