关于防范向日葵远控软件远程命令执行漏洞的通知

近日发现向日葵远控软件远程命令执行漏洞，影响Windows系统使用的个人版和简约版，且漏洞利用方式已公开，如有使用需尽快升级。

一、漏洞描述

向日葵是一款免费的，集远程控制电脑手机、远程桌面连接、远程开机、远程管理、支持内网穿透的一体化远程控制管理工具软件。上海贝锐信息科技股份有限公司向日葵个人版for Windows存在命令执行漏洞，攻击者可利用该漏洞获取服务器控制权。

二、漏洞编号

远程命令执行漏洞(CNVD-2022-10270/CNVD-2022-03672)

三、风险说明

通过向日葵客户端开放的web服务随机端口获取Cookie CID，从而通过构造恶意请求进行执行命令获取服务器控制权限。目前已有PoC公开，请相关用户尽快采取措施进行防护。

四、 影响范围

向日葵个人版for Windows <= 11.0.0.33

向日葵简约版<= V1.0.1.43315(2021.12)

五、修复建议

目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞，建议受影响用户及时更新进行防护，官方版本下载链接:https://sunlogin.oray.com。

六、参考链接
https://www.cnvd.org.cn/flaw/show/CNVD-2022-10270