【高危】慎用瑞友天翼，存在SQL注入漏洞，官方没有提供...

csx

最近公司收到当地网警提醒服务器存在SQL注入高危漏洞，指明的是瑞友天翼存在SQL注入漏洞，而且还提供SQL注入成功的截图。

后来去网络搜索下发现确实已经被披露瑞友天翼存在SQL注入漏洞  瑞友天翼应用虚拟化系统远程代码执行漏洞安全风险通告

通告显示是 版本V5.x <= 瑞友天翼应用虚拟化系统 <= V7.0.2.1 会受到影响，实际上以前的版本应该都是存在这个SQL漏洞，因为公司的版本是V4.3 。

通告还显示V7.0.3.1不受影响，瑞友天翼官网也发布通告 关于瑞友天翼应用虚拟化系统远程代码执行漏洞情况的说明 | 瑞友天翼-应用虚拟化|远程接入|桌面虚拟化|国内虚拟化整体解决方案领导者 (realor.cn)  

联系瑞友官方是要交钱升级版本，没有专门漏洞补丁，瑞友也没打算出漏洞补丁。

目前不交钱的解决方法就是不要直接暴露瑞友天翼到公网访问，可以利用内网穿透等技术来规避，比如说公司就通过自建frp来间接访问瑞友天翼来使用低版本，同时不用太过担心在公网暴露SQL漏洞。