一、漏洞描述:
向日葵是一款免费的,集远程控制电脑手机、远程桌面连接、远程开机、远程管理、支持内网穿透的一体化远程控制管理工具软件。上海贝锐信息科技股份有限公司向日葵个人版for Windows存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。
二、漏洞编号:
远程命令执行漏洞(CNVD-2022-10270/CNVD-2022-03672)
三、风险说明:
通过向日葵客户端开放的web服务随机端口获取Cookie CID,从而通过构造恶意请求进行执行命令获取服务器控制权限。目前已有PoC公开,请相关用户尽快采取措施进行防护。
四、影响范围:
向日葵个人版for Windows <=11.0.0.33
向日葵简约版<= V1.0.1.43315(2021.12)
五、修复建议:
目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞,建议受影响用户及时更新进行防护,官方版本下载链接: https://sunlogin.oray.com。
六、参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-10270
https://www.cnvd.org.cn/flaw/show/CNVD-2022-03672