Smartbi setEngineAddress權(quán)限繞過漏洞

 漏洞資訊     |      2023-08-18

一、漏洞分析

漏洞編號:CNVD-2023-60888

公開日期: 2023-08-03

危害級別:高 (AV:N/AC:L/Au:S/C:C/I:C/A:C)

二、漏洞描述

Smartbi是一站式大數(shù)據(jù)分析平臺。

Smartbi setEngineAddress存在權(quán)限繞過漏洞,該漏洞是由于setEngineAddress接口未授權(quán),未授權(quán)的遠(yuǎn)程攻擊者可利用該漏洞獲取管理員Token,從而以管理員權(quán)限接管后臺,進(jìn)一步利用可實現(xiàn)任意代碼執(zhí)行。

漏洞類型:通用型漏洞

三、影響產(chǎn)品

廣州思邁特軟件有限公司 Smartbi >=V6,<=V10

四、漏洞解決方案

廠商已提供漏洞修補方案,請關(guān)注廠商主頁及時更新:

https://www.smartbi.com.cn/patchinfo