查看原文
其他

Smartbi远程命令执行漏洞安全风险通告

奇安信 CERT 2023-03-26

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




安全通告



Smartbi是广州思迈特软件有限公司旗下的商业智能BI和数据分析品牌,为企业客户提供一站式商业智能解决方案。Smartbi大数据分析产品融合BI定义的所有阶段,对接各种业务数据库、数据仓库和大数据分析平台,进行加工处理、分析挖掘和可视化展现;满足所有用户的各种数据分析应用需求,如大数据分析、可视化分析、探索式分析、复杂报表、应用分享等等。

近日,奇安信CERT监测到Smartbi官方发布安全更新,其中包含Smartbi 远程命令执行漏洞。Smartbi大数据分析平台存在远程命令执行漏洞,未经身份认证的远程攻击者利用此漏洞向系统发送恶意数据,可能执行任意命令,导致系统被攻击与控制。鉴于此产品用量较多,建议客户尽快更新至最新版本。


漏洞名称

Smartbi 远程命令执行漏洞

公开时间

2023-02-28

更新时间

2023-03-01

CVE编号

暂无

其他编号

QVD-2023-5326

威胁类型

命令执行

技术类型

命令注入

厂商

广州思迈特软件有限公司

产品

Smartbi

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未发现

未发现

未发现

未公开

漏洞描述

Smartbi大数据分析平台存在远程命令执行漏洞,该漏洞为Smartbi DB2 命令执行漏洞的补丁绕过,未经身份认证的远程攻击者利用此漏洞向系统发送恶意数据,可能执行任意命令,导致系统被攻击与控制。

影响版本

V7 <= Smartbi <= V10.5.8

其他受影响组件



威胁评估

漏洞名称

Smartbi 远程命令执行漏洞

CVE编号

暂无

其他编号

QVD-2023-5326

CVSS 3.1评级

高危

CVSS 3.1分数

9.8

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

不需要

影响范围(S

机密性影响(C

不改变

完整性影响(I

可用性影响(A

危害描述

未经身份认证的远程攻击者利用此漏洞向系统发送恶意数据,可能执行任意命令,导致系统被攻击与控制。



处置建议

目前 Smartbi官方已发布安全版本修复该漏洞,建议受影响用户尽快进行安全更新。


自动升级:

登录后台->右上角系统监控->系统补丁->安装补丁->在线更新


手动升级:

下载补丁->登录后台->右上角系统监控->系统补丁->安装补丁->手动更新

补丁下载地址:https://www.smartbi.com.cn/patchinfo


详情可参考:

https://wiki.smartbi.com.cn/pages/viewpage.action?pageId=50692623



参考资料

[1]https://www.smartbi.com.cn/patchinfo

[2]https://wiki.smartbi.com.cn/pages/viewpage.action?pageId=50692623



时间线

2023年3月1日,奇安信 CERT发布安全风险通告。


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存