TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > アプリ: ScreenConnect > ConnectWise「ScreenConnect」のサーバコンポーネントに脆弱性

ConnectWise「ScreenConnect」のサーバコンポーネントに脆弱性

アプリ: ScreenConnect ベンダー: ConnectWise 脆弱性: CVE-2025-14265 CWE-494: ダウンロードしたコードの完全性検証不備

【要点】

◎ConnectWiseはScreenConnectサーバに拡張機能検証不備の脆弱性(CVE-2025-14265)を公表。高権限が必要で悪用例は未確認だが、修正版25.8が提供され、30日以内の更新を推奨している。


【要約】

ConnectWiseは、リモートアクセスツール「ScreenConnect」のサーバコンポーネントにおいて、拡張機能の検証不備により信頼されていない拡張機能をインストール可能となる脆弱性「CVE-2025-14265」を公表した。クライアント側は影響を受けないが、サーバ上で高い権限を持つ攻撃者が悪用した場合、不正な拡張機能を導入される恐れがある。CVSSv3.1のベーススコアは9.1と高い一方、現時点で悪用は確認されていない。同社は検証機能を強化した修正版「ScreenConnect 25.8」を公開し、脆弱性の重要度を「Important」、適用優先度を「Moderate」と評価。差し迫った脅威はないものの、30日以内のアップデート適用を推奨している。


【ニュース】

◆ConnectWise「ScreenConnect」のサーバコンポーネントに脆弱性 (Security NEXT, 2025/12/16)
https://www.security-next.com/178518

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022