严重

Smartbi 内置用户登陆绕过漏洞

披露时间：

2023-06-12

更新时间：

2025-03-24

CT 编号

CT-765607

CVE 编号

N/A

CNVD 编号

N/A

CNNVD 编号

N/A

原理分类

鉴权绕过

漏洞评分

8.2

漏洞描述

Smarbi 是由思迈特软件开发的一款企业级商业智能和大数据分析平台。Smartbi 在某种特定情况下存在默认用户绕过登录漏洞，未经身份验证的攻击者通过该漏洞可绕过权限校验调用后台接口，可能导致敏感信息泄露和代码执行。受影响版本：V7 <= Smartbi <= V10

漏洞危害

未经身份验证的攻击者通过该漏洞可绕过权限校验调用后台接口，可能导致敏感信息泄露和代码执行

检测工具

远程检测工具下载

xpoc -r 105 -t 目标URL

本地检测工具下载

smartbi_internal_user_login_bypass_scanner_windows_amd64.exe scan --output result.json

修复方法

在确保业务不受影响的前提下，可以暂时拦截对/smartbi/vision/RMIServlet接口的访问请求。
限制访问来源地址，如非必要，不要将系统开放在互联网上。
升级产品至最新版本，下载地址：https://www.smartbi.info/

参考链接

长亭百川云