一、背景介绍
近日,市委网信办技术支撑单位监测发现Smartbi身份认证绕过漏洞(QVD-2023-19579)。
1.1 漏洞描述
由于Smartbi登录代码逻辑漏洞(QVD-2023-15129)漏洞补丁可绕过,导致远程未授权攻击者仍可能通过windowUnloading参数绕过身份认证,进一步结合后台接口利用可实现远程代码执行。建议客户尽快做好自查及防护。
1.2 漏洞编号
QVD-2023-19579
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
Smartbi>=V6
2.2 修复建议
目前官方已发布补丁更新,建议受影响用户安装2023年8月22日发布的补丁:https://www.smartbi.com.cn/patchinfo