【漏洞通告】关于Smartbi 商业智能 I BI 软件命令执行漏洞安全风险通告
发布日期:2022-11-21 阅读次数:
漏洞描述
近日, 监测到 Smartbi 商业智能 BI 软件命令执行漏洞的 0day 相关漏洞情报, 攻击者可以通过利用路由匹配结合 JNDI 注入进行任意命令执行, 导致系统被攻击与控制。 Smartbi商业智能 BI 软件,满足 BI 产品的发展阶段。 思迈特软件整合了各行业的数据分析和决策支持的功能需求,满足最终用户在企业级报表、 数据可视化分析、 自助探索分析、 数据挖掘建模、 AI 智能分析等场景。 Smartbi 商业智能 BI 软件未对 JDBC 的 db2 做过滤, 构建恶意 db2 数据库, 触发 JNDI 注入进行命令执行。
对此, 鉴于此次漏洞影响范围广泛、 影响程度较高, 因此建议相关用户尽快排查, 并更新最新版本。
漏洞危害
攻击者可以通过利用路由匹配结合 JNDI 注入进行任意命令执行, 导致系统被攻击与控制。
漏洞等级
高危
受影响版本
Smartbi 商业智能 BI 软件<10.5.8 (最新版)
修复方案
缓解措施:
配置 WAF 规则, 对数据包中有 clientRerouteServerListJNDIName 关键字数据包过滤。
官方修复方案:
联系厂商获取 V10.5.8 的补丁包, 进行升级即可。