UCloud-202308-002:Smartbi身份认证绕过漏洞通告
- 发布时间 2023-08-23
- 更新时间 2023-08-23
- 漏洞等级 high
- CVE编号 无
漏洞简述
Smartbi是广州思迈特软件有限公司旗下的商业智能BI和数据分析品牌,满足用户在企业级报表、数据可视化分析、自助分析平台、数据挖掘建模、AI智能分析等大数据分析需求。
该漏洞存在于SmartBI中,是一个身份认证绕过漏洞。由于另一个Smartbi 登录代码逻辑漏洞漏洞补丁可绕过,导致未授权的远程攻击者仍可能通过windowUnloading参数绕过身份认证,进一步结合后台接口利用可实现远程代码执行。
影响版本
SmartBI:SmartBI >= V6
安全版本
根据影响版本中的信息,排查并升级到安全版本,或直接访问参考链接获取官方更新指南。
补丁下载链接:https://www.smartbi.com.cn/patchinfo
参考链接
https://wiki.smartbi.com.cn/pages/viewpage.action?pageId=50692623
