【已复现】Smartbi 远程代码执行漏洞安全通告
2025-08-18 17:15 北京
检测业务是否受到此漏洞影响,请联系长亭应急服务团队!
SmartBi 是一款专业的企业级商业智能(BI)平台,致力于为用户提供高效、灵活的数据分析与可视化解决方案。它支持多源数据整合、自助式分析以及智能报表生成,帮助团队快速洞察业务趋势,赋能数据驱动的决策。
2025年7月31日,Smartbi官方发布安全补丁修复了一处远程代码执行漏洞,该漏洞导致攻击者可绕过认证并调用后台接口实现远程代码执行。利用难度较低,建议受影响的用户尽快修复。
漏洞描述
Description
01
漏洞成因
Smartbi的身份验证机制存在设计缺陷,攻击者能够利用默认资源ID绕过认证检查,直接获取有效会话凭证。通过后台接口反射调用危险方法,最终导致远程代码执行漏洞。
漏洞影响
远程代码执行:攻击者可在服务器上执行任意系统命令,可能导致服务器被完全控制、数据泄露或业务系统沦陷。
处置优先级:高
漏洞类型:远程代码执行
漏洞危害等级:高
触发方式:网络远程
权限认证要求:无需权限
系统配置要求:默认配置
用户交互要求:无需用户交互
利用成熟度:POC/EXP 未公开
修复复杂度:低,官方提供补丁修复方案
影响版本
Affects
02
Smartbi <= 11.0.99471.25193
解决方案
Solution
03
升级修复方案
请及时升级安全补丁,下载地址:
https://www.smartbi.com.cn/patchinfo
临时缓解方案如非必要,避免将该系统直接暴露在互联网
如非必要,避免将该系统直接暴露在互联网
漏洞复现
Reproduction
04
产品支持
Support
05
云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC检测
洞鉴:预计 2025.08.18 支持PoC检测
雷池:默认支持检测
全悉:预计 2025.08.18 发布更新包支持检测
时间线
Timeline
06
2025年8月18日 长亭安全应急响应中心发布通告
长亭应急响应服务
目录
最新
- 【已复现】Gogs 远程命令执行漏洞(CVE-2025-8110)
- 【在野利用】Dify Docker部署仍存在React2Shell风险
- 【已复现】React Server Components 远程代码执行漏洞(CVE-2025-55182)
- 【原创0day】东方通应用服务器 EJB 反序列化远程代码执行漏洞安全通告
- 【已复现】泛微e-cology 前台SQL注入漏洞
- 【已复现】用友 U8 Cloud pubsmsservlet 远程代码执行漏洞安全通告
- 【已复现】Oracle E-Business Suite 远程代码执行漏洞安全通告(CVE-2025-61882)
- 【已复现】用友 U8 Cloud NCCloudGatewayServlet 命令执行漏洞安全通告