一、背景介绍
近日,市委网信办技术支撑单位监测到互联网上泄露关于向日葵远程控制软件命令执行漏洞细节。远程攻击者在未授权情况下可通过构造特殊请求执行任意命令。存在命令执行漏洞(CNVD-2022-10270)
1.1 漏洞描述
向日葵远程控制软件是一款免费的集远程控制电脑手机、远程桌面连接、 远程开机、远程管理、支持内网穿透的一体化远程控制管理工具软件。 在向日葵远程控制软件 Windows 版本中存在命令执行漏洞,远程攻击者在 未授权情况下可通过构造特殊请求执行任意命令,目前已在 Windows 11.0.0.33 826 版本中测试成功,同时,经测试,官方最新版 Windows 12.5. 0.44227 不受该漏洞影响。
1.2 漏洞编号
CNVD-2022-10270
1.3 漏洞等级
高危
二、修复建议
2.1 受影响版本
向日葵远程控制软件 for Windows <= 11.0.0.33826
2.2 修复建议
目前无法通过向日葵远程控制软件中自动升级,请手动下载安装包并安装
更新,目前官方最新版本为 12.5.0.44227:
https://sunlogin.oray.com/download/