漏洞概述
Mini Mouse 9.2.0 版本中存在一个远程代码执行(RCE)漏洞,攻击者可通过未经身份验证的 HTTP 接口 /op=command 发送特制的 JSON 请求,执行任意命令,从而在目标系统上下载并运行恶意载荷。
漏洞详情
- CVE 编号:CVE-2021-47851
- 漏洞类型:CWE-78(操作系统命令注入)
- CVSS 评分:CVSS v3.1 基础评分为 9.8(CRITICAL),CVSS v4.0 基础评分为 9.3(CRITICAL)
- 影响版本:Mini Mouse 9.2.0
影响范围
该漏洞影响 Mini Mouse 9.2.0 版本,这是一款用于远程控制设备的应用程序。任何暴露该 HTTP 接口到网络中的实例均可能受到攻击。
风险分析
由于该漏洞无需身份认证、攻击复杂度低且可通过网络远程利用,攻击者可完全控制系统,实现远程代码执行,导致数据泄露、服务中断或进一步内网渗透等严重后果。
修复建议
- 目前尚未有官方补丁发布,建议用户立即停止使用受影响版本,并关注厂商后续安全更新。
- 临时缓解措施:限制对 Mini Mouse 服务的网络访问,仅允许可信 IP 访问相关端口;或通过防火墙规则阻断对 /op=command 路径的外部请求。
