Connectwise · Connectwise Risk Assessment · CVE-2025-4876
Nome do Software Vulnerável e Versões Afetadas:
ConnectWise Risk Assessment (versões afetadas não especificadas)
Descrição:
A falha permite que um atacante extraia uma chave de descriptografia AES hardcoded via engenharia reversa do ConnectWise-Password-Encryption-Utility.exe no ConnectWise Risk Assessment. Esta chave está embutida em texto claro dentro do binário e é utilizada em operações criptográficas sem gerenciamento dinâmico de chaves. Uma vez obtida, a chave pode ser utilizada para descriptografar arquivos de entrada CSV utilizados para varredura de rede autenticada.
Recomendações:
Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.