CVE-2025-14265: ScreenConnect permite instalação de extensões sem integridade
Descoberta e escopo / O que mudou agora
A ConnectWise liberou um patch para o ScreenConnect (versão 25.8) corrigindo uma falha de validação de integridade de código durante a instalação de extensões, rastreada como CVE‑2025‑14265.
Vetor e exploração / Mitigações
A vulnerabilidade, classificada como CWE‑494 (Download of Code Without Integrity Check) e com pontuação CVSS 3.1 de 9.1, permite que um ator com acesso autorizado (nível administrador) instale extensões sem verificação de integridade, potencialmente carregando código não confiável no servidor. A medida de correção fortalece validações server‑side e passa a exigir integridade nas extensões.
Impacto e alcance / Setores afetados
Todas as instalações do ScreenConnect anteriores à 25.8 são afetadas; a falha incide apenas no componente servidor. ConnectWise informou ausência de evidência de exploração ativa. Para clientes cloud (screenconnect.com/hostedrmm.com) as atualizações foram aplicadas automaticamente; parceiros on‑premises devem atualizar para 25.8 e sincronizar versões de guest clients.
Limites das informações / O que falta saber
Embora o CVSS seja alto, a necessidade de credenciais administrativas reduz a janela de exploração remota não autenticada. Ainda assim, organizações com credenciais comprometidas ou parceiros mal configurados permanecem em risco.
Repercussão / Próximos passos / Recomendações
- Atualizar servidores ScreenConnect para 25.8 imediatamente;
- Verificar autoprovisionamento de extensões e logs de instalação;
- Confirmar que a extensão Automate ScreenConnect (se aplicável) está na versão recomendada antes da atualização;
- Rever controles de acesso administrativos e rotinas de rotação de credenciais.
Fonte: Cyber Security News (com base no boletim da ConnectWise).