可RCE速修｜Smartbi内置用户登陆绕过漏洞

漏洞链接：https://stack.chaitin.com/vuldb/detail?id=1c2b1506-c4ce-4ab5-9770-42884b2dc09c\r

\r

Smartbi是一款商业智能应用程序，提供数据集成、分析、可视化等功能，帮助用户理解并利用数据做出决策。 \r

近日，长亭科技监测到Smartbi发布了新补丁，修复了一个登录绕过漏洞。 \r

长汀应急团队经过分析发现，该漏洞类型为登录绕过，目前仍有多处公网系统尚未修复该漏洞。因此，基于漏洞原理，我们编写了无害的X-POC远程检测工具和牧云本地检测工具，现已开放给公众下载使用。 \r

## **漏洞描述**\r

Smartbi 在安装过程中会有多个内置用户。当使用特定接口时，可以绕过用户的身份认证机制来获取其身份凭证。获得的身份凭证可以用来调用后端接口，这可能会导致敏感信息泄露和代码执行。 \r

## **检测工具**\r

### **X-POC远程检测工具**\r

#### **检测方法**\r

\r

````\r

xpoc -r 105 -t 目标URL\r

````\r