关于向日葵远程控制软件命令执行高危漏洞的安全通告

一、漏洞描述

上海贝锐信息科技股份有限公司研发的远程运维软件“向日葵”存在命令执行高危漏洞（CNVD-2022-10270）。“向日葵”是一款集远程桌面、远程开机、远程管理、内网穿透于一体的网络管理控制工具，在远程运维、远程协助等工作场景中应用广泛。攻击者可利用此漏洞，获取安装了“向日葵”软件的主机密钥，进而获取主机控制权。

二、影响版本范围

目前，已知受影响的版本是“向日葵个人版for Windows 11.0.0.33”、“向日葵简约版 V1.0.1.43315”。

三、安全防范建议

目前利用该漏洞的工具已经在互联网传播，如果您使用低版本向日葵个人版软件，可能面临严重网络安全风险，请立即访问开发商主页（https://sunlogin.oray.com）升级至最新版本，修复此高危安全漏洞。

鉴于该漏洞危害较大，请各单位及师生高度重视，迅速排查“向日葵”软件的使用情况，并立即采取以上修复建议，堵塞漏洞。务必提高警惕，做好风险防范，避免因漏洞引起相关的网络安全事件。

若有疑问请联系信息中心，联系电话:6276320。

信息中心

2022年2月18日