各位老师、同学:
近日,国家信息安全漏洞共享平台发布上海贝锐信息科技股份有限公司向日葵个人版for Windows存在命令执行漏洞,漏洞编号CNVD-2022-10270,攻击者可利用该漏洞直接获取服务器管理员权限。
该漏洞波及版本广,风险系数高,请大家务必提高警惕,若有使用向日葵个人版for Windows,请尽快检查使用版本信息排查风险,并及时采取修复措施。
【漏洞描述】
向日葵是一款免费的,集远程控制电脑手机、远程桌面连接、远程开机、远程管理、支持内网穿透的一体化远程控制管理工具软件。攻击者可利用向日葵个人版for Windows所存在的命令执行漏洞直接获取服务器管理员权限。
【影响范围】
向日葵个人版for Windows版本<11.1.1.38222
【修复建议】
目前无法通过向日葵远程控制软件中自动升级,请手动下载安装包并安装更新,目前官方最新版本为12.5.0.44227:
https://sunlogin.oray.com/download/
信息化办公室
2022年2月17日
