标准编码:CFVD-C-2024-010000000042
漏洞描述
Smartbi一站式大数据分析平台是广州思迈特软件有限公司开发的一款数据分析工具,其数据挖掘引擎让Smartbi可以通过多节点集群支持海量数据的挖掘与分析。
Smartbi的数据挖掘引擎存在任意文件读取漏洞,由于部分传入参数未被过滤,攻击者可利用该漏洞读取数据挖掘引擎所在服务器上的任意文件。
漏洞条件
可访问数据挖掘引擎暴露端口
影响产品
厂商名称:广州思迈特软件有限公司
产品名称:Smartbi一站式大数据分析平台
影响版本:Smartbi一站式大数据分析平台<=v11
漏洞危害
击者可利用该漏洞获取服务器上的任意文件内容,实施进一步渗透攻击。
漏洞地址:http://x.x.x.x/api/v1/flows/{id}/nodes/{nodeId}/outputs/{outputId} 【GET】
缓解措施或漏洞修复建议
(1)漏洞缓解:
1.配置白名单,设置允许访问挖掘引擎访问的IP地址
2.如数据挖掘引擎配置界面存在绑定引擎按钮,则点击,绑定引擎
(2)漏洞修复:
针对接口/api/v1/flow的代码,过滤参数中的危险字符。
Smartbi 官方回复
一、影响版本
20230817之前的V95及以上使用数据挖掘引擎版本
漏洞关联说明:【2023年8月22日漏洞提醒】“文件上传逻辑漏洞”的处理方案
二、如何确认是否受影响?
为方便进一步确认用户环境是否受此漏洞影响,可以通过以下方式确认当前环境版本信息及确认是否使用数据挖掘:
第一步:确认当前环境版本信息,可参考wiki文档:如何获取smartbi当前使用版本信息
第二步:如果是受影响的版本,确认是否使用数据挖掘:
V95版本是否使用数据挖掘引擎,可确认是否有配置引擎界面的入口,如果没有相关入口,则说明未使用挖掘引擎,不受影响:
V97及以上版本可于【系统运维】-【数据挖掘配置】中确认,如果未有数据挖掘配置入口,则说明未使用挖掘引擎,不受影响:
如若是存在相关入口,测试连接不通过,则说明当前bi的服务器没有用到对应地址,则说明不涉及这个漏洞;即便是部署了挖掘也只要连不上,当前bi的服务器也不受此漏洞的影响。
三、解决方案
使用数据挖掘引擎受影响版本解决方案如下:
方案1 更新Smartbi 版本
修复此安全漏洞需要更新20230817之后的数据挖掘引擎,为保证功能的正常使用,请同步更新对应的Smartbi war包,最新war包可通过官方支持渠道获取:Smartbi技术支持方式说明
方案2 配置白名单
配置白名单,设置允许访问挖掘引擎访问的IP地址,防止漏洞触发。
具体的配置步骤链接:安全设置-访问ip限制
