漏洞概况

Smartbi 是一款领先的国产商业智能软件,致力于为企业提供一站式的数据分析和决策支持解决方案。它能够帮助用户从海量数据中发现价值,实现数据驱动的业务增长。

微步情报局通过X漏洞奖励计划获取到Smartbi 远程代码执行漏洞情报由于Smartbi存在权限验证缺陷,攻击者可通过已知的默认资源ID绕过身份验证获取合法Session。随后利用后台接口反射调用危险方法执行代码,造成远程代码执行漏洞。该漏洞利用方式简单,建议受影响用户尽快修复。

漏洞处置优先级(VPT)

漏洞影响范围

漏洞复现

修复方案

官方修复方案:

官方已发布补丁修复该漏洞,请尽快前往下载更新:

https://www.smartbi.com.cn/patchinfo

临时缓解措施:

  • 可配置防护策略,限制访问漏洞相关路径。完整漏洞利用路径请通过微步漏洞情报查询。

  • 如非必要,避免将资产暴露在互联网

微步产品侧支持情况

  • 微步威胁感知平台TDP已支持检测,检测ID:S3100162926、S3100158870 ,模型/规则高于20250620000000可检出。

  • 微步威胁防御系统OneSIG已支持防护,规则ID为:3100032405