Smartbi---意外的福利

beize   ·   发表于 2023-08-11 16:36:35   ·   实战纪实

漏洞描述

Smartbi在安装时会内置几个用户,在使用特定接口时,可绕过用户身份认证机制获取其身份凭证,随后可使用获取的身份凭证调用后台接口,可能导致敏感信息泄露和代码执行。

影响版本

V7 <= Smartbi <= V10

fofa语法

用户名金币积分时间理由
Track-魔方 600.00 0 2023-08-16 11:11:14 深度 200 普适 300 可读 100

打赏我,让我更有动力~

4 条回复   |  直到 2023-8-13 | 587 次浏览

beize
发表于 2023-8-11

使用http://ip/smartbi/vision/RMIServlet 对上诉发现的新漏洞简单验证了一下以上漏洞在实际环境中存在

评论列表

  • 加载数据中...

编写评论内容

Track-魔方
发表于 2023-8-13

标题写错了,是Smartbi

评论列表

  • 加载数据中...

编写评论内容

Track-魔方
发表于 2023-8-13

可以加上漏洞修复建议吗

评论列表

  • 加载数据中...

编写评论内容

Track-魔方
发表于 2023-8-13

请同学修改一下POC里面被编码的一些字符,提高可读性!

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.