漏洞描述 Smartbi是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策,满⾜⽤户在企业级报表、数据可视化分析、⾃助分析平台、数据挖掘建模、AI智能分析等⼤数据分析需求。该软件应⽤范围较⼴,据官⽹的介绍内容,在全球财富500强的10家国内银⾏,有8家选⽤了Sm...
/smartbix/api/monitor/setServiceAddress接口,将ENGINE_ADDRESS设置为我们可控的伪造服务器,那么就可以从请求报文中获取到token。(这个位置经过尝试,发现伪造服务器上需要实现使用POST方法请求的/api/v1/configs/engine/smartbitoken接口,并且,响应内容为json) 获取完token后,就可调用/smartbix/api/monitor/login方法...
新华三盾山实验室2023/08/011. 漏洞综述1.1 漏洞背景Smartbi是一款商业智能(Business Intelligence,BI)工具,旨在帮助企业利用数据分析发现商业机会,优化业务决策过程。提供数据分析、数据可视化、报表设计、数据挖掘、数据集市等多个功能模块来支持企业数据分析和决策
近日,奇安信CERT监测到Smartbi 身份认证绕过漏洞(QVD-2023-17461),未经授权的远程攻击者可利用该漏洞获取管理员Token,从而以管理员权限接管后台,进一步利用可实现任意代码执行。利用此漏洞需目标可出网。鉴于此漏洞影响较大,建议天守客户尽快做好自查及防护。 Smartbi是企业级商业智能BI和大数据分析品牌,满足用户...
漏洞描述 2023年6月21日公司监测到Smartbi官方修复了一个绕过登录漏洞。Smartbi是广州思迈特软件有限公司旗下的商业智能BI和数据分析产品。Smartbi大数据分析产品融合BI定义的所有阶段,对接各种业务数据库、数据仓库和大数据分析平台,进行加工处理、分析挖掘和可视化展现;满足所有用户的各种数据分析应用需求,如大数据分析、可...
漏洞危害 OSCS 描述 Smartbi是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。在 Smartbi 受影响版本中存在权限绕过问题,未授权的攻击者可以通过 RMI 的方式调用 getPassword 接口获取管理员token信息。获取管理员权限后,可进入后台实现任意命令执行,进而对目标系统造成破坏或...
51CTO博客已为您找到关于Smartbi漏洞的相关内容,包含IT学习相关文档代码介绍、相关教程视频课程,以及Smartbi漏洞问答内容。更多Smartbi漏洞相关解答可以来51CTO博客参与分享和学习,帮助广大IT技术人实现成长和进步。
Smartbi在Smartbi V9及其以上版本中存在一个远程代码执行漏洞,攻击者可在未经认证授权的的情况下,调用后台敏感接口,执行任意代码。漏洞等级:严重。 影响版本: Smartbi>=v9 修复建议 官厂商已发布补丁修复漏洞,用户请尽快更新至安全版本: 自动升级: 登录后台->右上角系统监控->系统补丁->安装补丁->在线更新 ...
漏洞描述: Smartbi是广州思迈特软件有限公司旗下的商业智能BI和数据分析品牌。martbi在远程未授权身份认证的情况下,可在绕过用户身份认证机制后未授权访问windowsunloging接口,且该接口存在反序列化远程代码执行漏洞随后可使用获取的身份凭证调用后台接口最终导致代码执行。
2023年8月8日,Smartbi官方修复了一处权限绕过漏洞,这是在特定场景下设置Token回调地址的漏洞的绕过。未经授权的攻击者能够通过该漏洞获取管理员token,完全接管管理员权限。研究补丁并进行分析后,发现此次漏洞与/smartbix/api/monitor/setAddress接口相关。该接口允许未授权设置SERVICE_ADDRESS和ENGINE_...