漏洞概述
Mini Mouse 9.3.0 版本中存在路径遍历漏洞(Path Traversal),攻击者可通过设备信息接口操纵文件路径参数,访问敏感系统目录(如 /usr、/etc 和 /var),从而获取系统文件列表,造成信息泄露风险。
漏洞详情
- CVE 编号:CVE-2021-47849
- 漏洞类型:路径遍历(CWE-22)
- CVSS 评分:CVSS v3.1 基础评分为 6.2(MEDIUM),CVSS v4.0 基础评分为 8.7(HIGH)
- 影响版本:Mini Mouse 9.3.0
影响范围
该漏洞影响 Mini Mouse 应用程序 9.3.0 版本。根据公开信息,该应用为 iOS 平台上的远程控制工具,漏洞存在于其本地 API 接口的设备信息端点中。
风险分析
攻击者可利用此路径遍历漏洞,在无需身份认证的情况下,通过构造恶意 API 请求读取系统敏感目录内容,导致本地文件信息泄露。虽然 CVSS v3.1 将攻击向量标记为“本地”(LOCAL),但 CVSS v4.0 评估为“网络”(NETWORK),表明可能存在远程利用场景,具体取决于部署环境。该漏洞不直接影响系统完整性或可用性,但高保密性影响可能被用于进一步攻击的信息收集阶段。
修复建议
- 建议用户升级至 Mini Mouse 官方发布的最新安全版本(若已发布)。
- 在官方补丁发布前,应限制对相关 API 接口的非必要访问,避免将应用暴露于不可信网络环境中。
