思迈特商业智能与大数据分析软件高危漏洞风险通告
发布时间 2019-12-12漏洞编号和级别
CVE编号:暂无,危险级别:高危,CVSS分值:官方未评定
影响版本
包括不限于 Version:9.1.51924.19493( Build:2019-120412:36:36)
漏洞概述
思迈特商业智能与大数据分析软件(简称:Smartbi Insight)是企业级商业智能和大数据分析平台。Smartbi功能设计全面完整,覆盖数据管理、数据提取、数据分析、数据分享四大环节,帮助客户从数据角度描述业务现状、分析业务原因、预测业务趋势、驱动业务变革。
Smartbi SQL注入漏洞:
Smartbi某接口存在SQL注入,无需身份认证的攻击者可利用该漏洞查看数据库中的敏感信息或删除任意用户。
Smartbi任意文件读取漏洞:
Smartbi存在任意文件读取漏洞,具有普通用户权限的攻击者利用该漏洞可以读取任意文件。
Smartbi任意文件上传漏洞:
Smartbi某接口存在任意文件上传漏洞,具有普通账户权限的攻击者可利用该漏洞上传任意文件。此漏洞可getshell。
漏洞验证
暂无POC/EXP。
修复建议
目前 Smartbi官方未发布该漏洞的补丁,请联系厂商获取漏洞最新状态与补丁更新:
http://www.smartbi.com.cn
参考链接
http://1t.click/b2bR
京公网安备11010802024551号