一、漏洞描述：

向日葵是一款免费的，集远程控制电脑手机、远程桌面连接、远程开机、远程管理、支持内网穿透的一体化远程控制管理工具软件。上海贝锐信息科技股份有限公司向日葵个人版for Windows存在命令执行漏洞，攻击者可利用该漏洞获取服务器控制权。

二、漏洞编号：

远程命令执行漏洞(CNVD-2022-10270/CNVD-2022-03672)

三、风险说明：

通过向日葵客户端开放的web服务随机端口获取Cookie CID，从而通过构造恶意请求进行执行命令获取服务器控制权限。目前已有PoC公开，请相关用户尽快采取措施进行防护。

四、影响范围：

向日葵个人版for Windows <=11.0.0.33

向日葵简约版<= V1.0.1.43315(2021.12)

五、修复建议：

目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞，建议受影响用户及时更新进行防护，官方版本下载链接: https://sunlogin.oray.com。

六、参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-10270

https://www.cnvd.org.cn/flaw/show/CNVD-2022-03672