关键漏洞信息 影响的应用程序 Telepad: 版本1.0.7及之前版本 PC Keyboard: 版本30及之前版本 Lazy Mouse: 版本2.0.1及之前版本 漏洞影响 CVE-2022-45477 Telepad允许远程未认证用户发送指令到服务器以执行任意代码,无需任何前期授权或认证。 CVSS 3.1基础评分: 9.8 CVE-2022-45478 Telepad允许攻击者在网络中嗅探服务器和连接设备之间的通信数据,包括明文密码。 CVSS 3.1基础评分: 5.1 CVE-2022-45479 PC Keyboard允许远程未认证用户发送指令到服务器以执行任意代码,无需任何前期授权或认证。 CVSS 3.1基础评分: 9.8 CVE-2022-45480 PC Keyboard允许攻击者在网络中嗅探服务器和连接设备之间的通信数据,包括明文密码。 CVSS 3.1基础评分: 5.1 CVE-2022-45481 Lazy Mouse的默认配置不要求密码,允许远程未认证用户执行任意代码,无需任何前期授权或认证。 CVSS 3.1基础评分: 9.8 CVE-2022-45482 Lazy Mouse服务器强制要求弱密码策略且未限制速率,允许攻击者快速暴力破解Pin码并执行命令。 CVSS 3.1基础评分: 9.8 CVE-2022-45483 Lazy Mouse允许攻击者在网络中嗅探服务器和连接设备之间的通信数据,包括明文密码。 CVSS 3.1基础评分: 5.1 缓解措施 Black Duck Cybersecurity Research Center曾多次联系开发者,但未在90天内收到回应。建议立即删除这些应用。 开发者未维护这些应用,导致安全问题。 发现者 安全研究员Mohammed Alshehri发现这些漏洞。 时间线 8月13日,2022: 初始披露 8月18日,2022: 跟进沟通 10月12日,2022: 最后跟进 11月29日,2022: Black Duck发布公告