Smartbi windowUnloading 未授权远程命令执行

Smarbi 是由思迈特软件开发的一款企业级商业智能和大数据分析平台，满足用户在企业级报表、数据可视化分析、自助分析平台、数据挖掘建模、AI智能分析等大数据分析需求。致力于打造产品销售、产品整合、产品应用的生态系统，与上下游厂商、专业实施伙伴和销售渠道伙伴共同为最终用户服务，通过Smartbi应用商店（BI+行业应用）为客户提供场景化、行业化数据分析应用。由于 Smartbi windowUnloading 存在鉴权绕过，导致远程未授权攻击者仍可能通过 windowUnloading 参数绕过身份认证，进一步结合后台接口利用可实现远程代码执行。

未经身份验证的攻击者通过该漏洞可绕过权限校验调用后台接口，可能导致敏感信息泄露和代码执行。

一、临时缓解措施:
在确保业务不受影响的前提下，可暂时拦截对/{{value}}接口的访问请求。
限制访问来源地址，如非必要，不要将系统开放在互联网上。
二、升级修复方案:
升级产品至最新版本，下载地址：https://www.smartbi.info/