一、 漏洞 CVE-2025-11493 基础信息
漏洞信息
# ConnectWise Automate 自动更新验证机制漏洞
## 概述
ConnectWise Automate Agent 在从服务器下载文件(如更新、依赖项和集成组件)时,未完整验证文件的真实性。
## 影响版本
未明确指出具体版本,但漏洞与 **CVE-2025-11492** 相关。
## 细节
攻击者可在通信路径中进行中间人攻击,通过冒充合法服务器,将恶意文件替换为合法文件。
## 影响
- 攻击者可向目标系统注入恶意代码
- 可能导致系统被远程控制或数据被篡改
- 风险在使用 HTTPS 并强制验证服务器身份时可被缓解
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Self-Update Verification Mechanism Process in ConnectWise Automate
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The ConnectWise Automate Agent does not fully verify the authenticity of files downloaded from the server, such as updates, dependencies, and integrations. This creates a risk where an on-path attacker could perform a man-in-the-middle attack and substitute malicious files for legitimate ones by impersonating a legitimate server. This risk is mitigated when HTTPS is enforced and is related to CVE-2025-11492.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
下载代码缺少完整性检查
来源:美国国家漏洞数据库 NVD
漏洞标题
ConnectWise Automate Agent 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
ConnectWise Automate Agent是美国ConnectWise公司的一个远程监控与管理软件。 ConnectWise Automate Agent存在安全漏洞,该漏洞源于未完全验证从服务器下载文件的真实性,可能导致中间人攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-11493 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-11493 的情报信息
四、漏洞 CVE-2025-11493 的评论
暂无评论