组件介绍

向日葵远程控制是一款提供远程控制服务的软件。向日葵远程控制支持主流操作系统Windows、Linux、Mac、Android、iOS跨平台协同操作，在任何可连入互联网的地点，都可以轻松访问和控制安装了向日葵远程控制客户端的设备。整个远控过程，可通过浏览器直接进行，无需再安装软件。

漏洞描述

近日，深信服安全团队监测到一则向日葵组件存在远程命令执行漏洞的信息，漏洞编号：CNVD-2022-10270、CNVD-2022-03672，漏洞威胁等级：高危。

该漏洞是由于攻击者向日葵特定接口传入恶意请求，在未授权的情况下获取到有效session ，再利用该session在特定接口下构造恶意请求，实现在目标服务器上执行任意命令。攻击者可以利用此漏洞获取服务器权限。

影响范围

受漏洞影响的向日葵软件包括但不限于以下范围：

向日葵个人版for Windows ≤ 11.0.0.33

向日葵简约版 ≤ V1.0.1.43315（2021.12）

官方修复建议

当前官方已发布最新版本已经修复此漏洞，建议受影响的用户及时更新升级到最新版本。