腾讯云公告 > 公告详情
扫码查看公告
【安全通告】向日葵远程控制软件远程代码执行漏洞风险通告(CNVD-2022-10270, CNVD-2022-03672)
尊敬的腾讯云用户,您好!
腾讯云安全运营中心监测到, 上海贝锐信息科技股份有限公司 向日葵远控软件,被披露了存在远程代码执行漏洞,漏洞编号CNVD-2022-10270,CNVD-2022-03672。可导致远程代码执行等危害。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
向日葵是一款免费的,集远程控制电脑手机、远程桌面连接、远程开机、远程管理、支持内网穿透的一体化远程控制管理工具软件。
向日葵远程控制软件存在未授权访问漏洞,启动服务端软件后,会开放未授权访问端口,攻击者可通过未授权访问无需密码直接获取session,并借此远程执行任意代码。
风险等级
高风险
漏洞风险
攻击者利用该漏洞可导致所在机器上远程执行任意代码
影响版本
向日葵个人版(Windows) <= 11.0.0.33
向日葵简约版 <= V1.0.1.43315(2021.12)
向日葵简约版 <= V1.0.1.43315(2021.12)
安全版本
向日葵个人版(Windows) > 11.0.0.33
向日葵简约版 > V1.0.1.43315(2021.12)
向日葵简约版 > V1.0.1.43315(2021.12)
修复建议
官方已发布漏洞补丁及修复版本,请及时升级至安全版本。
安全提示:
出于安全考虑,应当尽量避免将不必要的端口及服务在公网开放,并应当避免将个人远控软件放置于业务服务器中;
安全提示:
出于安全考虑,应当尽量避免将不必要的端口及服务在公网开放,并应当避免将个人远控软件放置于业务服务器中;
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
https://www.cnvd.org.cn/flaw/show/CNVD-2022-10270https://www.cnvd.org.cn/flaw/show/CNVD-2022-03672
2022-02-17