漏洞描述:
永洪BI是一款企业级商业智能软件,用于数据分析和可视化,该漏洞允许攻击者绕过身份认证验证,进入后台写入WеbShеll,进而获取服务器的完全控制权限,攻击者无需任何权限即可利用该漏洞,且利用难度较低,对受影响的系统构成严重威胁。
影响产品:
永洪BI<10.2.4
修复建议:
厂商已于10.2.4版本修复此漏洞,建议受影响用户尽快联系永洪售后更新至10.2.4及以上版本,在更新之前,可以使用防护类设备限制访问/bi/Viеԝеr路径,拦截可疑的文件上传操作。此外,如非必要,应避免将相关资产暴露在互联网上。