【漏洞预警】Smartbi 未授权任意代码执行漏洞
一、 漏洞概述
Smartbi大数据分析产品融合BI定义的所有阶段,对接各种业务数据库、数据仓库和大数据分析平台,进行加工处理、分析挖掘和可视化展现;满足所有用户的各种数据分析应用需求,如大数据分析、可视化分析、探索式分析、复杂报表、应用分享等等。
近日, Smartbi官方发布安全更新,其中包含Smartbi 远程命令执行漏洞。Smartbi大数据分析平台存在远程命令执行漏洞,未经身份认证的远程攻击者利用此漏洞向系统发送恶意数据,可能执行任意命令,导致系统被攻击与控制。
二、 影响范围
本次漏洞影响范围如下:
V7 <= Smartbi <= V10.5.8 |
---|
FOFA Query:
app="SMARTBI" |
---|
根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="SMARTBI")共有248 个相关服务对外开放。中国使用数量最多,共有 247 个;新加坡第二,共有1 个。
全球范围内分布情况如下(仅为分布情况,非漏洞影响情况):
中国大陆地区北京使用数量最多,共有73 个;贵州第二,共有 33 个;广东第三,共有 20 个;上海第四,共有 9 个;湖北第五,共有 4 个。
三、 漏洞复现
白帽汇安全研究院于第一时间复现了该漏洞:
四、 修复建议
(一)官方补丁
Smartbi官方已发布安全版本修复该漏洞,建议受影响用户尽快进行安全更新
自动升级:
登录后台->右上角系统监控->系统补丁->安装补丁->在线更新
手动升级:
下载补丁->登录后台->右上角系统监控->系统补丁->安装补丁->手动更新
补丁下载地址:https://www.smartbi.com.cn/patchinfo
五、 参考链接
[1.] https://www.smartbi.com.cn/patchinfo
[2.] https://wiki.smartbi.com.cn/pages/viewpage.action?pageId=50692623
最新评论