漏洞公告
近日,安恒信息CERT监测到Smartbi存在登录代码逻辑漏洞,目前技术细节及PoC未公开。攻击者可以通过该漏洞访问敏感信息。
中央研究院已复现此漏洞。
Smartbi存在登录代码逻辑漏洞复现截图
漏洞信息
Smartbi 是一种数据分析和可视化工具,用于帮助企业和组织从海量数据中提取有用的信息,做出更明智的决策。Smartbi 提供了丰富的数据分析和报告功能,使用户能够快速、直观地理解和探索数据。它支持多种数据源的连接,包括关系型数据库、大数据平台、云服务等,以获取数据并进行分析。
| 漏洞标题 | Smartbi存在登录代码逻辑漏洞 | ||
| 应急响应等级 | 3级 | ||
| 漏洞类型 | 安全特性绕过 | ||
| 影响目标 | 影响厂商 | Smartbi | |
| 影响产品 | Smartbi | ||
| 影响版本 | [9,+∞) | ||
| 安全版本 | (-∞,9) | ||
| 漏洞编号 | CVE编号 | 未分配 | |
| CNVD编号 | 未分配 | ||
| CNNVD编号 | 未分配 | ||
| 安恒CERT编号 | WM-202307-000001 | ||
| 漏洞标签 | Web应用 | ||
| CVSS3.1评分 | 7.5(安恒自评) | 危害等级 | 高危 |
| CVSS向量 | 访问途径(AV) | 网络 | |
| 攻击复杂度(AC) | 低 | ||
| 所需权限(PR) | 无需任何权限 | ||
| 用户交互(UI) | 不需要用户交互 | ||
| 影响范围(S) | 不变 | ||
| 机密性影响(C) | 高 | ||
| 完整性影响(I) | 无 | ||
| 可用性影响(A) | 无 | ||
| 威胁状态 | Poc情况 | 未发现 | |
| Exp情况 | 未发现 | ||
| 在野利用 | 未发现 | ||
| 研究情况 | 已复现 | ||
| 舆情热度 | 公众号 | 低 | |
| 低 | |||
| 微博 | 低 | ||
该产品主要使用客户行业分布广泛,漏洞危害性高,建议客户尽快做好自查及防护。
官方修复方案:
官方已发布修复方案,受影响的用户建议及时下载补丁包进行漏洞修复
https://www.smartbi.com.cn/patchinfo
临时缓解措施:
非必要不建议将该系统暴露在公网
网络空间资产测绘
根据安恒Sumap全球网络空间资产测绘近三个月数据显示,该资产主要分布在中国。建议客户尽快做好资产排查。
产品能力覆盖
目前安恒信息已有9款产品覆盖该漏洞检测与防护。
产品名称 | 覆盖补丁包 |
AiLPHA大数据平台 | AiNTA-v1.2.5_release_ruletag_1.1.1141 |
AXDR平台的流量探针 | AiNTA-v1.2.5_release_ruletag_1.1.1141 |
APT攻击预警平台 | GoldenEyeIPv6_4A1E0_strategy2.0.27325.230704.1.encrypt.tar.gz及以上 |
明鉴漏洞扫描系统 | 1.3.1005.1088 |
明鉴远程安全评估系统 | 1.3.1005.1088 |
云鉴版漏洞扫描系统 | 1.3.1005.1088 |
WebScan7 | 1.0.1.93 |
WAF | 已支持 |
玄武盾 | 已支持 |
参考资料
https://www.smartbi.com.cn/index/news_cont/nid/6010
https://www.smartbi.com.cn/patchinfo
安恒信息CERT
2023年7月
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...