超级会员免费看
本文详细介绍了ConnectWise ScreenConnect的身份验证绕过漏洞(CVE-2024-1709),该漏洞允许未经授权的攻击者注册账户并执行命令,影响版本为23.9.8以下。复现环境及修复建议也在文中给出。
0x01 产品简介
ConnectWise ScreenConnect ,是一款自托管的远程桌面软件应用,该款软件允许用户自行托管,可以在自己的服务器、个人电脑、虚拟机或虚拟专用服务器上运行。
0x02 漏洞概述
ConnectWise ScreenConnect低于23.9.8 版本的产品中,SetupWizard.aspx接口处存在身份验证漏洞,未经授权攻击者可以利用此漏洞注册账户,并登陆到产品后台进行一系列操作。而且可以通过 ScreenConnect 的原有功能进行命令执行,可导致服务器被接管的情况。
0x03 影响范围
ScreenConnect < 23.9.8
0x04 复现环境
FOFA:
title="ScreenConnect Remote Support Software" || banner="ScreenConnect" || header="ScreenConnect"
0x05 漏洞复现
利用脚本
import requests
import re
i
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
