一、漏洞描述
上海贝锐信息科技股份有限公司研发的远程运维软件“向日葵”存在命令执行高危漏洞(CNVD-2022-10270)。“向日葵”是一款集远程桌面、远程开机、远程管理、内网穿透于一体的网络管理控制工具,在远程运维、远程协助等工作场景中应用广泛。攻击者可利用此漏洞,获取安装了“向日葵”软件的主机密钥,进而获取主机控制权。
二、影响版本范围
目前,已知受影响的版本是“向日葵个人版for Windows 11.0.0.33”。
三、安全防范建议
目前利用该漏洞的工具已经在互联网传播,如果您使用低版本向日葵个人版软件,可能面临严重网络安全风险,请立即访问开发商主页(https://sunlogin.oray.com)升级至最新版本,修复此高危安全漏洞。
鉴于该漏洞危害较大,请各单位及师生高度重视,迅速排查“向日葵”软件的使用情况,并立即采取以上修复建议,堵塞漏洞。务必提高警惕,做好风险防范,避免因漏洞引起相关的网络安全事件。
若有疑问请联系信息中心。
