一、漏洞分析
漏洞编号:CNVD-2023-60888
公开日期: 2023-08-03
危害级别:高 (AV:N/AC:L/Au:S/C:C/I:C/A:C)
二、漏洞描述
Smartbi是一站式大数据分析平台。
Smartbi setEngineAddress存在权限绕过漏洞,该漏洞是由于setEngineAddress接口未授权,未授权的远程攻击者可利用该漏洞获取管理员Token,从而以管理员权限接管后台,进一步利用可实现任意代码执行。
漏洞类型:通用型漏洞
三、影响产品
广州思迈特软件有限公司 Smartbi >=V6,<=V10
四、漏洞解决方案
厂商已提供漏洞修补方案,请关注厂商主页及时更新:
https://www.smartbi.com.cn/patchinfo