netop公司总部位于丹麦比克勒市,在全球100余个国家设有代理商,netop vision-pro是该公司研发的一个远程教学软件,在全球范围内广泛销售。
一、漏洞介绍
近日,国家信息安全漏洞库(cnnvd)收到关于netop vision-pro多个安全漏洞情况的报送。包括netop vision-pro安全漏洞(cnnvd-202103-1479、cnnvd-202103-1478、cnnvd-202103-1477、cnnvd-202103-1476)对应cve编号分别为cve-2021-27192、cve-2021-27193、cve-2021-27194、cve-2021-27195。漏洞可允许本地用户在使用客户端时获得管理员权限、允许远程未经身份验证的使用系统权限读写远程机器上的文件,从而导致权限升级等危害。建议用户直接更新到最新版本。
二、漏洞详情
1、cve-2021-27192
漏洞名称:netop vision-pro安全漏洞
影响版本:v9.7.1
漏洞危害:9.7.1版本存在安全漏洞,该漏洞源于允许本地用户在使用客户端时获得管理员权限。
2、cve-2021-27193
漏洞名称:netop vision访问控制错误漏洞
影响版本:v9.7.1
漏洞危害:存在访问控制错误漏洞,该漏洞源于错误默认权限漏洞允许远程未经身份验证的使用系统权限读写远程机器上的文件,从而导致权限升级。
3、cve-2021-27194
漏洞名称:netop vision-pro安全漏洞
影响版本:v9.7.1
漏洞危害:存在安全漏洞,该漏洞源于敏感信息的明文传输允许远程未经身份验证的收集包括windows登录用户名和密码在内的凭证。
4、cve-2021-27195
漏洞名称:netop vision-pro安全漏洞
影响版本:v9.7.1
漏洞危害:存在安全漏洞,该漏洞源于不适当授权漏洞允许攻击者重播网络流量。
三、漏洞修复
目前,该公司已发布解决问题的更新版本(netop vision pro版本9.7.2),建议用户及时确认是否受到漏洞影响,尽快升级到最新版本。