漏洞描述:
Smartbi是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。
Smartbi在特定情况下获取管理员token,完全接管管理员权限。获取管理员权限后,可进入后台实现任意命令执行。
影响范围:
Smartbi <= V10
漏洞复现:
修复方案:
1.安装官方对应版本的更新补丁
2.可设置ALLOW_CALL_GET_PASSWORD_METHOD=false,禁止调用接口getPassword
参考链接:
https://wiki.smartbi.com.cn/pages/viewpage.action?pageId=114996930
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...