ConnectWise schließt kritische Schwachstelle

Durch die Ausnutzung der Schwachstelle CVE-2025-11492 (EUVD-2025-34827) werden sensible Informationen nicht verschlüsselt, sondern in Klartext übertragen. Dadurch können Angreifende diese Daten mitlesen. Ursache ist die Möglichkeit, eine Kommunikation mit HTTP (unverschlüsselt) zu konfigurieren anstatt mit HTTPS (verschlüsselt). Für die Sicherheitslücke ist ein CVSS-Base-Score von 9.6/10 angegeben.

Über eine weitere Sicherheitslücke können Angreifende Schad-Code in Updates einschleusen. Diese Lücke hat die Kennung CVE-2025-11493 (EUVD-2025-34826) und einen CVSS-Score von 8.8/10. Ursache hierfür ist eine fehlende Integritätsprüfung.

Betroffen von den Schwachstellen sind alle Produktversionen vor Version 2025.9, insbesondere On-Premise-Instanzen.

ConnectWise empfiehlt, das Produkt schnellstmöglich auf Version 2025.9 oder höher zu aktualisieren.