正文

【漏洞复现】Smartbi 权限绕过漏洞

admin
admin V管理员 /0 评论 /85 阅读
1008
此篇文章发布距今已超过172天,您需要注意文章的内容或图片是否可用!

漏洞描述

Smartbi是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。

Smartbi在特定情况下获取管理员token,完全接管管理员权限。获取管理员权限后,可进入后台实现任意命令执行

影响范围:

Smartbi <= V10

漏洞复现

修复方案

1.安装官方对应版本的更新补丁
2.可设置ALLOW_CALL_GET_PASSWORD_METHOD=false,禁止调用接口getPassword

参考链接:
https://wiki.smartbi.com.cn/pages/viewpage.action?pageId=114996930


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网-ZhouSa.com