近日,安识科技A-Team团队监测到一则 Meeting Owl Pro 和 Whiteboard Owl 组件存在信息泄露漏洞的信息,该漏洞的CVSS评分为7.4,漏洞编号:CVE-2022-31460,漏洞威胁等级:高危。Owl Labs Meeting Owl 5.2.0.15 中可通过特定的c 150 值使用硬编码的 hoothoot 凭据激活Tethering模式。除CVE-2022-31460外,Meeting Owl Pro 和 Whiteboard Owl中还存在多个安全漏洞:
lCVE-2022-31459:Owl Labs Meeting Owl 5.2.0.15中可使用蓝牙通过特定c 10值检索密码哈希,该漏洞的CVSS评分为7.4。
lCVE-2022-31461:Owl Labs Meeting Owl 5.2.0.15 中可通过特定 c 11 消息停用密码保护机制,该漏洞的CVSS评分为7.4。
lCVE-2022-31462:Owl Labs Meeting Owl 5.2.0.15中允许使用在蓝牙广播数据中发现的后门密码(源自序列号)来控制设备,该漏洞的CVSS评分为9.3。
lCVE-2022-31463:Owl Labs Meeting Owl 5.2.0.15中不要求蓝牙密码,因为只使用客户端认证,该漏洞的CVSS评分为8.2。
对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防
工作,以免遭受黑客攻击。
2. 漏洞概述
CVE:CVE-2022-31460
简述:Meeting Owl Pro 是Owl Labs公司的一款视频会议设备,它在政府、教育等行业中被广泛使用。Meeting Owl Pro 和 Whiteboard Owl中的一个信息泄露漏洞(CVE-2022-31460),该漏洞的CVSS评分为7.4。Owl Labs Meeting Owl 5.2.0.15 中可通过特定的c 150 值使用硬编码的 hoothoot 凭据激活Tethering模式。
3. 漏洞危害
攻击者可通过特定的c 150 值使用硬编码的 hoothoot 凭据激活Tethering模式
4. 影响版本
目前受影响的 Owl Labs Meeting Owl版本:
Owl Labs Meeting Owl 5.2.0.15
5. 解决方案
目前Owl Labs已在Meet Owl Pro 和 Whiteboard Owl版本 5.4.1.4中修复了CVE-2022-31460,受影响的用户可以选择升级更新到此版本。