csx 发表于 2023-4-28 22:52

【高危】慎用瑞友天翼,存在SQL注入漏洞,官方没有提供...

最近公司收到当地网警提醒服务器存在SQL注入高危漏洞,指明的是瑞友天翼存在SQL注入漏洞,而且还提供SQL注入成功的截图。

后来去网络搜索下发现确实已经被披露瑞友天翼存在SQL注入漏洞瑞友天翼应用虚拟化系统远程代码执行漏洞安全风险通告

通告显示是 版本V5.x <= 瑞友天翼应用虚拟化系统 <= V7.0.2.1 会受到影响,实际上以前的版本应该都是存在这个SQL漏洞,因为公司的版本是V4.3 。

通告还显示V7.0.3.1不受影响,瑞友天翼官网也发布通告 关于瑞友天翼应用虚拟化系统远程代码执行漏洞情况的说明 | 瑞友天翼-应用虚拟化|远程接入|桌面虚拟化|国内虚拟化整体解决方案领导者 (realor.cn)

联系瑞友官方是要交钱升级版本,没有专门漏洞补丁,瑞友也没打算出漏洞补丁。

目前不交钱的解决方法就是不要直接暴露瑞友天翼到公网访问,可以利用内网穿透等技术来规避,比如说公司就通过自建frp来间接访问瑞友天翼来使用低版本,同时不用太过担心在公网暴露SQL漏洞。
页: [1]
查看完整版本: 【高危】慎用瑞友天翼,存在SQL注入漏洞,官方没有提供...