漏洞概述
Mini Mouse 9.2.0 版本中存在路径遍历漏洞(Path Traversal),远程攻击者可通过构造恶意 HTTP 请求,访问任意系统文件和目录。攻击者可利用该漏洞读取敏感文件(如 win.ini)或列出系统目录(如 C:\Users\Public)内容,从而获取敏感信息。
漏洞详情
- CVE 编号:CVE-2021-47850
- 漏洞类型:路径遍历(CWE-22)
- CVSS 评分:CVSS v3.1 基础评分为 7.5(HIGH);CVSS v4.0 基础评分为 8.7(HIGH)
- 影响版本:Mini Mouse 9.2.0
影响范围
该漏洞影响 Mini Mouse 9.2.0 版本,适用于运行该版本远程控制应用的 Windows 系统。攻击者无需身份认证即可通过网络发起攻击。
风险分析
由于该漏洞允许未经身份验证的远程攻击者读取任意系统文件,可能导致敏感信息泄露(如配置文件、用户数据等),进而为后续攻击提供跳板。虽然当前未发现完整性或可用性影响,但高保密性影响使其构成严重安全风险。
修复建议
- 建议用户立即升级至厂商发布的最新安全版本(若已发布)。
- 在官方补丁发布前,建议限制 Mini Mouse 服务的网络访问权限,仅允许可信 IP 访问,或暂时停用相关功能以降低风险。
