严重
Smartbi 内置用户登陆绕过漏洞
披露时间:
2023-06-12
更新时间:
2025-02-10
CT 编号
CT-765607
CVE 编号
N/A
CNVD 编号
N/A
CNNVD 编号
N/A
原理分类
鉴权绕过
漏洞评分
8.2
漏洞描述
Smarbi 是由思迈特软件开发的一款企业级商业智能和大数据分析平台。Smartbi 在某种特定情况下存在默认用户绕过登录漏洞,未经身份验证的攻击者通过该漏洞可绕过权限校验调用后台接口,可能导致敏感信息泄露和代码执行。受影响版本:V7 <= Smartbi <= V10
漏洞危害
未经身份验证的攻击者通过该漏洞可绕过权限校验调用后台接口,可能导致敏感信息泄露和代码执行
检测工具
远程检测工具下载
xpoc -r 105 -t 目标URL
本地检测工具下载
smartbi_internal_user_login_bypass_scanner_windows_amd64.exe scan --output result.json
修复方法
1、更新升级:目前官方已发布安全补丁,建议受影响用户安装发布的补丁 :
https://www.smartbi.com.cn/patchinfo
在线更新:登陆到Smartbi 后台->右上角系统监控->系统补丁->安装补丁->在线更新
手动升级:下载补丁->登录后台->右上角系统监控->系统补丁->安装补丁->手动更新
评分维度
长亭安全产品覆盖情况
雷池(SafeLine)下一代Web应用防火墙
洞鉴(X-Ray)安全评估系统
云图(Cloud Atlas)攻击面管理运营平台
牧云(CloudWalker) 主机安全管理平台
全悉(T-ANSWER)高级威胁分析预警系统
谛听(D-Sensor) 伪装欺骗系统
漏洞时间线
补丁发布
2023-06-12
漏洞披露
2023-06-12
漏洞信息更新
2025-02-10
