发布日期：2020-06-15
更新日期：2020-08-31

受影响系统：

ConnectWise Automate < 2019.12.337
ConnectWise Automate 2020.5 < 2020.5.178
ConnectWise Automate 2020.4 < 2020.4.143
ConnectWise Automate 2020.3 < 2020.3.114
ConnectWise Automate 2020.2 < 2020.2.85
ConnectWise Automate 2020 < 2020.1.53

描述：

---

CVE(CAN) ID: CVE-2020-14159

ConnectWise Automate是美国ConnectWise公司的一套基于云的本地IT自动化解决方案。该产品支持内容管理、文件共享、IT资产跟踪和管理等功能。
ConnectWise Automate 2019.12.337之前版本、2020.1.53之前的2020版本、2020.2.85之前的2020.2版本、2020.3.114之前的2020.3版本、2020.4.143之前的2020.4版本和2020.5.178之前的2020.5版本中的/LabTech/agent.aspx存在SQL注入漏洞。经过身份认证的远程攻击者可借助Automate API利用该漏洞执行命令或在个别的Automate实例中进行修改操作。

<*链接：*>

建议：

---

厂商补丁：

ConnectWise
-----------
ConnectWise已经为此发布了一个安全公告（CVE-2020-14159）以及相应补丁:
CVE-2020-14159：A Partnership Built On Trust and Confidence
链接：
https://www.connectwise.com/company/trust#tab1

浏览次数：882
严重程度：0（网友投票）