本页面罗列自2023-12-21起,修复处理的安全漏洞说明。
1.版本
| 更新日期 | 更新说明 |
|---|---|
| 2024-04-18 |
2.漏洞说明
2.1修复某种特定情况下越权漏洞
| 漏洞描述 | 补丁说明 | 修复的漏洞 | 影响版本 | 解决方案 |
|---|---|---|---|---|
修复某种特定情况下越权漏洞 (Patch.20240418 @2024-04-18) | 此补丁修复了近期的部分漏洞。 | 1:某种特定情况下登录绕过 2:越权漏洞 3:敏感信息泄露 4&5:命令执行漏洞 | V6及以上版本 | 1、更新2024-04-18发布的补丁 2、更新2024-02-02后的war包:请联系官方支持渠道进行获取 |
2.2修复远程命令执行漏洞
| 漏洞描述 | 漏洞修复说明 | 影响版本 | 解决方案 |
|---|---|---|---|
远程命令执行漏洞 | 修复了Mondrian组件的漏洞 | 通过2023年11月21日之前的EXE安装包部署的V10版本 | 1)如果不需要使用Mondrian,建议直接删掉此目录 |
请从阿里云上下载Mondrian更新文件,下载链接:http://smartbi.oss-cn-beijing.aliyuncs.com/%E5%B9%B3%E5%8F%B0%E6%BC%8F%E6%B4%9E%E4%BF%AE%E5%A4%8D%E6%9B%B4%E6%96%B0%E6%96%87%E4%BB%B6/mondrian%E6%9B%B4%E6%96%B0%E6%96%87%E4%BB%B6231107.zip
更新时,注意以下2个配置文件不可覆盖
①mondrian\WEB-INF\datasources.xml
②mondrian\WEB-INF\queries\FoodMartCN.xml
