永洪BI系统远程代码执行漏洞

漏洞描述:

永洪BI是一款企业级商业智能软件,用于数据分析和可视化,该漏洞允许攻击者绕过身份认证验证,进入后台写入WеbShеll,进而获取服务器的完全控制权限,攻击者无需任何权限即可利用该漏洞,且利用难度较低,对受影响的系统构成严重威胁。

影响产品:

永洪BI<10.2.4 

修复建议:

厂商已于10.2.4版本修复此漏洞,建议受影响用户尽快联系永洪售后更新至10.2.4及以上版本,在更新之前,可以使用防护类设备限制访问/bi/Viеԝеr路径,拦截可疑的文件上传操作。此外,如非必要,应避免将相关资产暴露在互联网上。

原文始发于微信公众号（飓风网络安全）：【漏洞预警】永洪BI系统远程代码执行漏洞