【漏洞预警】Smartbi 未授权任意代码执行漏洞

xiannv  630天前

0.png

一、    漏洞概述

Smartbi大数据分析产品融合BI定义的所有阶段,对接各种业务数据库、数据仓库和大数据分析平台,进行加工处理、分析挖掘和可视化展现;满足所有用户的各种数据分析应用需求,如大数据分析、可视化分析、探索式分析、复杂报表、应用分享等等。

近日, Smartbi官方发布安全更新,其中包含Smartbi 远程命令执行漏洞。Smartbi大数据分析平台存在远程命令执行漏洞,未经身份认证的远程攻击者利用此漏洞向系统发送恶意数据,可能执行任意命令,导致系统被攻击与控制。

二、    影响范围

本次漏洞影响范围如下:

V7 <= Smartbi <= V10.5.8

FOFA Query:

app="SMARTBI"

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="SMARTBI")共有248 个相关服务对外开放。中国使用数量最多,共有 247 个;新加坡第二,共有1 个。

1.png

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况):

中国大陆地区北京使用数量最多,共有73 个;贵州第二,共有 33 个;广东第三,共有 20 个;上海第四,共有 9 个;湖北第五,共有 4 个。

2.png

三、    漏洞复现

白帽汇安全研究院于第一时间复现了该漏洞:

3.png

四、    修复建议

(一)官方补丁

Smartbi官方已发布安全版本修复该漏洞,建议受影响用户尽快进行安全更新

自动升级:

登录后台->右上角系统监控->系统补丁->安装补丁->在线更新

手动升级:

下载补丁->登录后台->右上角系统监控->系统补丁->安装补丁->手动更新

补丁下载地址:https://www.smartbi.com.cn/patchinfo

五、    参考链接

[1.] https://www.smartbi.com.cn/patchinfo

[2.] https://wiki.smartbi.com.cn/pages/viewpage.action?pageId=50692623

最新评论

昵称
邮箱
提交评论