Smartbi 远程命令执行漏洞
Smartbi是广州思迈特软件有限公司旗下的商业智能BI和数据分析品牌,致力于为企业客户提供一站式商业智能解决方案。Smartbi三大产品包括企业报表平台、自助分析平台、数据挖掘平台,覆盖企业从传统BI到自助BI,再到智能BI的三个应用阶段,满足从数据准备到数据分析、交流共享等各个环节的功能需求。
2月28日,Smartbi发布安全更新,修复了一处远程命令执行漏洞。
漏洞描述
Smartbi 大数据分析平台存在远程命令执行漏洞,远程且未经授权认证的攻击者可利用stub接口对先前“DB2 命令执行漏洞”的补丁进行绕过,构造并发送恶意数据包到目标服务端利用此漏洞,从而在服务端执行任意恶意命令、获取系统权限。
影响范围
-
V7 <= Smartbi <= V10.5.8
解决方案
Smartbi在2月28日发布安全补丁修复了此漏洞,用户可在官网下载获取补丁包安装:https://www.smartbi.com.cn/patchinfo
Smartbi V9.3及以后版本的用户也可登陆到管理后台,打开系统监控面板,进入“安全补丁”界面,点击“在线更新”按钮,系统会到官网上自动获取最新的安全补丁文件进行更新:
产品支持
全悉:已发布更新包支持该漏洞检测。
云图:默认支持 Smartbi 版本指纹,受影响范围检测规则已发布。
洞鉴:已发布更新包支持该漏洞检测。
参考资料
-
https://wiki.smartbi.com.cn/pages/viewpage.action?pageId=50692623
-
https://www.smartbi.com.cn/patchinfo
原文始发于微信公众号(长亭技术沙盒):漏洞风险提示 | Smartbi 远程命令执行漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论