安全通告

关于Smartbi 商业智能 I BI 软件命令执行漏洞安全风险通告

发布日期：2022-11-21

漏洞描述

近日，监测到Smartbi 商业智能 BI 软件命令执行漏洞的 0day 相关漏洞情报，攻击者可以通过利用路由匹配结合 JNDI 注入进行任意命令执行，导致系统被攻击与控制。Smartbi 商业智能 BI 软件,满足 BI 产品的发展阶段。思迈特软件整合了各行业的数据分析和决策支持的功能需求,满足最终用户在企业级报表、数据可视化分析、自助探索分析、数据挖掘建模、AI 智能分析等场景。Smartbi 商业智能 BI 软件未对 JDBC 的 db2 做过滤，构建恶意 db2 数据库，触发 JNDI注入进行命令执行。

对此，鉴于此次漏洞影响范围广泛、影响程度较高，因此建议相关用户尽快排查，并更新最新版本。

漏洞危害

攻击者可以通过利用路由匹配结合 JNDI 注入进行任意命令执行，导致系统被攻击与控制。

漏洞等级

高危
受影响版本

Smartbi 商业智能 BI 软件<10.5.8 (最新版)

修复方案

缓解措施：

配置 WAF 规则，对数据包中有 clientRerouteServerListJNDIName 关键字数据包过滤。

官方修复方案：

联系厂商获取 V10.5.8 的补丁包，进行升级即可。