一、漏洞概述

Smartbi大数据分析产品融合BI定义的所有阶段，对接各种业务数据库、数据仓库和大数据分析平台，进行加工处理、分析挖掘和可视化展现；满足所有用户的各种数据分析应用需求，如大数据分析、可视化分析、探索式分析、复杂报表、应用分享等等。

近日， Smartbi官方发布安全更新，其中包含Smartbi 远程命令执行漏洞。Smartbi大数据分析平台存在远程命令执行漏洞，未经身份认证的远程攻击者利用此漏洞向系统发送恶意数据，可能执行任意命令，导致系统被攻击与控制。

二、影响范围

本次漏洞影响范围如下：

V7 <= Smartbi <= V10.5.8

FOFA Query：

app="SMARTBI"

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="SMARTBI"）共有248 个相关服务对外开放。中国使用数量最多，共有 247 个；新加坡第二，共有1 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）：

中国大陆地区北京使用数量最多，共有73 个；贵州第二，共有 33 个；广东第三，共有 20 个；上海第四，共有 9 个；湖北第五，共有 4 个。

白帽汇安全研究院于第一时间复现了该漏洞：

Smartbi官方已发布安全版本修复该漏洞，建议受影响用户尽快进行安全更新

自动升级：

登录后台->右上角系统监控->系统补丁->安装补丁->在线更新

手动升级：

下载补丁->登录后台->右上角系统监控->系统补丁->安装补丁->手动更新

补丁下载地址：https://www.smartbi.com.cn/patchinfo

[1.] https://www.smartbi.com.cn/patchinfo

[2.] https://wiki.smartbi.com.cn/pages/viewpage.action?pageId=50692623