نسخههای 25.2.3 و قبل از آن نرمافزار ConnectWise ScreenConnect مستعد آسیبپذیری تزریق کد ViewState هستند.
آسیبپذیری حیاتی احراز هویت نامناسب با شناسه CVE-2025-3935 و امتیاز 8.1 در ConnectWise ScreenConnect تا نسخه 25.2.3 یافت شده است. کد ناشناختهای از مولفه ASP.NET Web Forms تحت تأثیر این آسیبپذیری قرار دارد. دستکاری با ورودی ناشناخته منجر به آسیبپذیری تزریق کد ViewState میشود. نفوذگران میتوانند اقدام به ایجاد و ارسال ViewState مخرب کنند که به طور بالقوه منجر به اجرای کد از راه دور در سرور میشود. حمله میتواند از راه دور انجام شود و به هیچ نوع احراز هویتی نیاز ندارد. همچنین جزئیات فنی ناشناخته است و اکسپلویت آن به صورت عمومی در دسترس نیست. نسخه بهروز شدهی ScreenConnect 2025.4، با غیرفعالسازی ViewState و حذف وابستگی آن، این باگ را برطرف میکند.
https://securityvulnerability.io/vulnerability/CVE-2025-3935
https://vuldb.com/?id.306247
