【漏洞通告】Smartbi 远程命令执行漏洞

漏洞名称：

Smartbi 远程代码执行漏洞

组件名称：

Smartbi

影响范围：

V7  <= Smartbi  <= V10.5.8

漏洞类型：

远程代码执行

利用条件：

1、用户认证：不需要用户认证
2、前置条件：默认配置
3、触发方式：远程

综合评价：

<综合评定利用难度>：未知。

<综合评定威胁等级>：高危，能造成远程代码执行或拒绝服务。

官方解决方案：

已发布

漏洞分析

组件介绍

Smartbi 是思迈特软件企业级商业智能和大数据分析产品品牌，提供企业报表、数据可视化分析、自助探索式分析、数据挖掘建模、AI智能分析等成熟功能，产品广泛应用于金融、制造、地产、零售、政府等 60+ 行业，在国内智能BI领域处于领先地位。

漏洞简介

2023 年 3 月 2 日，深信服安全团队监测到 Smartbi 官方发布了一则漏洞安全通告，通告披露了 Smartbi 组件存在远程命令执行漏洞。

该漏洞存在 DB2 远程代码执行补丁包绕过的情况，攻击者可利用该漏洞在未授权的情况下，构造恶意数据进行远程命令执行攻击，最终可获取服务器最高权限。

影响范围

Smartbi 是国产化大数据分析平台，可能受漏洞影响的资产主要广泛分布于国内，国内省市中，北京、广州、上海、湖北等省市接近 70%，今年曝出的漏洞又是高危级别，涉及用户量过多，导致漏洞影响力很大。

目前受影响的 Smartbi 版本：

V7 <= Smartbi <= V10.5.8

解决方案

如何检测组件版本

登录设备后台，点击页面右上角系统监控，找到系统补丁选项卡，点击安全补丁子选项卡，即可在当前页面分别可以找到在线更新和手动更新补丁包选项。如果已经更新，则提示没有需要更新的安全补丁。

官方修复建议

当前官方已发布受影响版本的对应补丁，建议受影响的用户及时更新官方的安全补丁。链接如下：

https://www.smartbi.com.cn/patchinfo

参考链接

https://www.smartbi.com.cn/patchinfo

时间轴

2023/3/2

深信服监测到 Smartbi 官方发布安全补丁。

2023/3/2

深信服千里目安全技术中心发布漏洞通告。

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。