远程管理工具ConnectWise发布ScreenConnect 25.8安全更新，修复编号为CVE-2025-14265的漏洞。官方指出，在特定条件下，该漏洞可能导致未经授权访问配置数据，或允许攻击者在服务器端安装未经验证的扩展插件，增加系统被非法修改的风险。官方表示目前尚未发现该漏洞被利用的证据，且触发相关情境需具备授权或管理员级别权限，因此不属于无需登录即可发起的攻击类型。

官方公布的通用漏洞评分系统CVSS 3.1基准评分为9.1，对机密性、完整性和可用性均属高影响等级。但由于利用该漏洞需要高权限，其主要风险集中在已获取授权账户或管理权限的场景中。该漏洞对应CWE-494，即下载代码时缺乏完整性校验，表明其与扩展插件安装流程中的信任与验证机制有关。

ConnectWise强调，该漏洞仅影响ScreenConnect的服务器端组件，主机端（Host）与连接客户端（Guest Clients）不受影响。但在修复建议中，官方仍要求本地环境将连接客户端更新至相同版本。

受影响版本为25.8之前的ScreenConnect。此次25.8更新主要强化了服务器端验证机制，在安装扩展插件时新增完整性校验功能，同时提升平台整体安全性和稳定性，以降低未经验证插件被安装的可能性，并防止配置数据在特定条件下被非法访问。

对于使用screenconnect.com云托管服务的客户，无论是独立使用，还是与远程监控与管理平台ConnectWise Automate及其他同类平台集成，ConnectWise表示其ScreenConnect服务器端已完成更新，用户无需额外操作即可自动应用补丁。针对Automate合作伙伴使用的hostedrmm.com托管环境，官方也确认已完成更新。

官方建议本地部署用户升级至ScreenConnect 25.8，并同步将客户端更新至相同版本。ConnectWise同时提醒，若授权已过维护期，需先完成授权续期，方可安装最新受支持版本。对于采用本地部署Automate并集成ScreenConnect的环境，ConnectWise建议采用更保守的更新顺序：首先确认Automate的ScreenConnect扩展插件版本已升级至4.4.0.16，再进行服务器端升级，以降低更新过程中出现兼容性问题的风险。

ConnectWise将此事件严重性评定为重要等级，优先级为中等二级。官方建议按照既有变更管理流程安排更新，但最迟不应超过30天。