CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2022-36781 – ConnectWise - ScreenConnect Session Code Bypass
https://notcve.org/view.php?id=CVE-2022-36781
ConnectWise ScreenConnect versions 22.6 and below contained a flaw allowing potential brute force attacks on custom access tokens due to inadequate rate-limiting controls in the default configuration. Attackers could exploit this vulnerability to gain unauthorized access by repeatedly attempting access code combinations. ConnectWise has addressed this issue in later versions by implementing rate-limiting controls as a preventive measure against brute force attacks. WiseConnect - Una Omisión de Código de Cesión de ScreenConnect. Un atacante tendría que usar un proxy para monitorizar el tráfico, y llevar a cabo una fuerza bruta en el código de sesión para poder entrar. • https://www.gov.il/en/Departments/faq/cve_advisories • CWE-307: Improper Restriction of Excessive Authentication Attempts •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-35066
https://notcve.org/view.php?id=CVE-2021-35066
An XXE vulnerability exists in ConnectWise Automate before 2021.0.6.132. Se presenta una vulnerabilidad de tipo XXE en ConnectWise Automate versiones anteriores a 2021.0.6.132 • https://home.connectwise.com/securityBulletin/60cc8c63508a120001cb6e8d https://www.connectwise.com/company/trust/security-bulletins • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-32582
https://notcve.org/view.php?id=CVE-2021-32582
An issue was discovered in ConnectWise Automate before 2021.5. A blind SQL injection vulnerability exists in core agent inventory communication that can enable an attacker to extract database information or administrative credentials from an instance via crafted monitor status responses. Se ha detectado un problema en ConnectWise Automate versiones anteriores a 2021.5. Se presenta una vulnerabilidad de inyección SQL ciega en la comunicación del inventario del agente principal que puede permitir a un atacante extraer información de la base de datos o credenciales administrativas de una instancia por medio de respuestas de estado de monitorización diseñadas • https://home.connectwise.com/securityBulletin/609a9dd75cb8450001e85369 https://www.connectwise.com/company/trust/security-bulletins https://www.connectwise.com/platform/unified-management/automate • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15838
https://notcve.org/view.php?id=CVE-2020-15838
The Agent Update System in ConnectWise Automate before 2020.8 allows Privilege Escalation because the _LTUPDATE folder has weak permissions. El Agent Update System en ConnectWise Automate versiones anteriores a 2020.8, permite una Escalada de Privilegios porque la carpeta _LTUPDATE presenta permisos débiles • https://dbeta.com/2020/10/05/PrivilegeEscalationInAutomateAgent https://www.connectwise.com/company/trust/security-bulletins • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2020-15027
https://notcve.org/view.php?id=CVE-2020-15027
ConnectWise Automate through 2020.x has insufficient validation on certain authentication paths, allowing authentication bypass via a series of attempts. This was patched in 2020.7 and in a hotfix for 2019.12. ConnectWise Automate versiones hasta 2020.x, presenta una comprobación insuficiente en determinadas rutas de autenticación, permitiendo una omisión de autenticación por medio de una serie de intentos. Esto fue parcheado en versión 2020.7 y en una revisión para la versión 2019.12 • https://slagle.tech/2020/07/06/cve-2020-15027 • CWE-287: Improper Authentication •