近日,安识科技A-Team团队监测到一则 Meeting Owl Pro 和 Whiteboard Owl 组件存在信息泄露漏洞的信息,该漏洞的CVSS评分为7.4,漏洞编号:CVE-2022-31460,漏洞威胁等级:高危。Owl Labs Meeting Owl 5.2.0.15 中可通过特定的c 150 值使用硬编码的 hoothoot 凭据激活Tethering模式。除CVE-2022-31460外,Meeting Owl Pro 和 Whiteboard Owl中还存在多个安全漏洞:
lCVE-2022-31459:Owl Labs Meeting Owl 5.2.0.15中可使用蓝牙通过特定c 10值检索密码哈希,该漏洞的CVSS评分为7.4。
lCVE-2022-31461:Owl Labs Meeting Owl 5.2.0.15 中可通过特定 c 11 消息停用密码保护机制,该漏洞的CVSS评分为7.4。
lCVE-2022-31462:Owl Labs Meeting Owl 5.2.0.15中允许使用在蓝牙广播数据中发现的后门密码(源自序列号)来控制设备,该漏洞的CVSS评分为9.3。
lCVE-2022-31463:Owl Labs Meeting Owl 5.2.0.15中不要求蓝牙密码,因为只使用客户端认证,该漏洞的CVSS评分为8.2。
对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防
工作,以免遭受黑客攻击。
简述:Meeting Owl Pro 是Owl Labs公司的一款视频会议设备,它在政府、教育等行业中被广泛使用。Meeting Owl Pro 和 Whiteboard Owl中的一个信息泄露漏洞(CVE-2022-31460),该漏洞的CVSS评分为7.4。Owl Labs Meeting Owl 5.2.0.15 中可通过特定的c 150 值使用硬编码的 hoothoot 凭据激活Tethering模式。
攻击者可通过特定的c 150 值使用硬编码的 hoothoot 凭据激活Tethering模式
目前受影响的 Owl Labs Meeting Owl版本:
Owl Labs Meeting Owl 5.2.0.15
目前Owl Labs已在Meet Owl Pro 和 Whiteboard Owl版本 5.4.1.4中修复了CVE-2022-31460,受影响的用户可以选择升级更新到此版本。
https://support.owllabs.com/s/knowledge/Meeting-Owl-Pro-Software-Release-Notes?language=en_US
https://support.owllabs.com/s/knowledge/Whiteboard-Owl-Software-Release-Notes?language=en_US
【-】2022年06月10日 安识科技A-Team团队监测到漏洞公布信息
【-】2022年06月10日 安识科技A-Team团队根据漏洞信息分析
【-】2022年06月10日 安识科技A-Team团队发布安全通告
原文始发于微信公众号(SecPulse安全脉搏):【漏洞预警】Owl Labs Meeting Owl Pro信息泄露漏洞
评论