一、漏洞分析

漏洞编号：CNVD-2023-60888

公开日期： 2023-08-03

危害级别：高 (AV:N/AC:L/Au:S/C:C/I:C/A:C)

二、漏洞描述

Smartbi是一站式大数据分析平台。

Smartbi setEngineAddress存在权限绕过漏洞，该漏洞是由于setEngineAddress接口未授权，未授权的远程攻击者可利用该漏洞获取管理员Token，从而以管理员权限接管后台，进一步利用可实现任意代码执行。

漏洞类型：通用型漏洞

三、影响产品

广州思迈特软件有限公司 Smartbi >=V6，<=V10

四、漏洞解决方案

厂商已提供漏洞修补方案，请关注厂商主页及时更新：

https://www.smartbi.com.cn/patchinfo