CVE-2026-35207: MITM in dde-control-center

该漏洞允许攻击者执行中间人攻击，拦截用户与 dde-control-center 插件之间的通信。攻击者可以替换用户头像，显示恶意或具有欺骗性的图像。虽然头像替换本身可能不会导致直接的数据泄露，但它可以被用于用户识别，并可能被用于进一步的社会工程攻击或其他恶意活动。攻击者可能利用此漏洞来监视用户活动，或在用户不知情的情况下进行其他操作。由于头像通常与用户账户相关联，因此该漏洞可能被用于识别和追踪特定用户。

Users of Deepin Desktop Environment who rely on the dde-control-center for managing their Deepin ID cloud service are at risk. This includes users on systems running affected versions of dde-control-center, particularly those in environments where network traffic is potentially susceptible to interception.

• linux / server:

journalctl -f -u dde-control-center | grep -i "tls certificate verification"

• linux / server:

ps aux | grep deepinid

• generic web: Use a network sniffer (e.g., Wireshark) to monitor traffic to openapi.deepin.com and look for connections without proper TLS certificate validation.

1. 2026-04-09Disclosure

   disclosure

1. 已保留2026-04-01
2. 发布日期2026-04-09
3. 修改日期2026-04-13
4. EPSS 更新日期2026-04-17

解决此漏洞的关键是升级到已修复的版本。建议立即将 dde-control-center 升级到 6.1.80 或 5.9.9 版本。如果无法立即升级，可以考虑使用反向代理或 Web 应用防火墙 (WAF) 来强制执行 TLS 证书验证。此外，可以审查 plugin-deepinid 插件的配置，确保已启用严格的 TLS 证书验证。升级后，请验证 TLS 证书验证是否已正确启用，并检查系统日志中是否有任何异常活动。