Smartbi远程命令执行漏洞安全风险通告
Smartbi是广州思迈特软件有限公司旗下的商业智能BI和数据分析品牌,为企业客户提供一站式商业智能解决方案。Smartbi大数据分析产品融合BI定义的所有阶段,对接各种业务数据库、数据仓库和大数据分析平台,进行加工处理、分析挖掘和可视化展现;满足所有用户的各种数据分析应用需求,如大数据分析、可视化分析、探索式分析、复杂报表、应用分享等等。
近日,奇安信CERT监测到Smartbi官方发布安全更新,其中包含Smartbi 远程命令执行漏洞。Smartbi大数据分析平台存在远程命令执行漏洞,未经身份认证的远程攻击者利用此漏洞向系统发送恶意数据,可能执行任意命令,导致系统被攻击与控制。鉴于此产品用量较多,建议客户尽快更新至最新版本。
(资料图)
漏洞名称 | Smartbi 远程命令执行漏洞 | ||
公开时间 | 2023-02-28 | 更新时间 | 2023-03-01 |
CVE编号 | 暂无 | 其他编号 | QVD-2023-5326 |
威胁类型 | 命令执行 | 技术类型 | 命令注入 |
厂商 | 广州思迈特软件有限公司 | 产品 | Smartbi |
风险等级 | |||
奇安信CERT风险评级 | 风险等级 | ||
高危 | 蓝色(一般事件) | ||
现时威胁状态 | |||
POC状态 | EXP状态 | 在野利用状态 | 技术细节状态 |
未发现 | 未发现 | 未发现 | 未公开 |
漏洞描述 | Smartbi大数据分析平台存在远程命令执行漏洞,该漏洞为Smartbi DB2 命令执行漏洞的补丁绕过,未经身份认证的远程攻击者利用此漏洞向系统发送恶意数据,可能执行任意命令,导致系统被攻击与控制。 | ||
影响版本 | V7 <= Smartbi <= V10.5.8 | ||
其他受影响组件 | 无 | ||
威胁评估
漏洞名称 | Smartbi 远程命令执行漏洞 | |||
CVE编号 | 暂无 | 其他编号 | QVD-2023-5326 | |
CVSS 3.1评级 | 高危 | CVSS 3.1分数 | 9.8 | |
CVSS向量 | 访问途径(AV) | 攻击复杂度(AC) | ||
网络 | 低 | |||
所需权限(PR) | 用户交互(UI) | |||
不需要 | 不需要 | |||
影响范围(S) | 机密性影响(C) | |||
不改变 | 高 | |||
完整性影响(I) | 可用性影响(A) | |||
高 | 高 | |||
危害描述 | 未经身份认证的远程攻击者利用此漏洞向系统发送恶意数据,可能执行任意命令,导致系统被攻击与控制。 | |||
处置建议
目前 Smartbi官方已发布安全版本修复该漏洞,建议受影响用户尽快进行安全更新。
自动升级:
登录后台->右上角系统监控->系统补丁->安装补丁->在线更新
手动升级:
下载补丁->登录后台->右上角系统监控->系统补丁->安装补丁->手动更新
补丁下载地址:https://www.smartbi.com.cn/patchinfo
详情可参考:
https://wiki.smartbi.com.cn/pages/viewpage.action?pageId=50692623
参考资料
[1]https://www.smartbi.com.cn/patchinfo
[2]https://wiki.smartbi.com.cn/pages/viewpage.action?pageId=50692623
相关阅读
-
浅析美军“雷霆穹顶”零信任项目
2023年2月15日,美国国防信息系统局(DISA)宣布BoozAllenHamilton... -
Smartbi远程命令执行漏洞安全风险通告
Smartbi是广州思迈特软件有限公司旗下的商业智能BI和数据分析品牌,... -
美国网络司令部筹建网络情报中心过程面...
“当美国网络司令部被国会问到‘是否需要成立一个在网络司令部开展... -
《中国数字乡村发展报告 (2022年)》发...
近日,《中国数字乡村发展报告(2022年)》(以下简称《报告》)正... -
2022年度亚洲部分国家网络安全态势综述-要闻
文|对外经济贸易大学国际关系学院 国家安全计算实验室研究助理戴雯... -
CrowdStrike 2023年全球威胁报告:勒索...
根据CrowdStrike最新发布的“2023年全球威胁报告”,超过七成网络攻...
