本文介绍了SmartBi 8.5的安装与配置步骤，包括下载文件、获取许可证、创建数据库和启动程序。强调避免选择“安装演示库”以防报错，并提供浏览器版本误判的解决方案。最后提醒用户关注技术信息的适用性和时效性。

SmartBI是广州思迈特软件有限公司的商业智能和数据分析品牌，提供企业级大数据分析解决方案，包括数据可视化和自助式仪表盘，帮助快速挖掘企业数据价值。但该软件存在安全漏洞，可能导致用户身份认证绕过和敏感信息泄露。

本文介绍了SmartBi-8.5的下载、安装和配置步骤，包括获取许可证、创建数据库及解决浏览器版本误判等问题，最终完成SmartBi的搭建。

Smartbi官方修复了一处权限绕过漏洞，攻击者可以利用该漏洞获取管理员token并接管管理员权限。漏洞与/smartbix/api/monitor/setAddress接口有关，可以未授权设置SERVICE_ADDRESS和ENGINE_ADDRESS。通过DES解密，可以设置伪造服务器地址用于接收token。漏洞分析结果包括获取之前的EngineAddress、设置EngineAddress为攻击者机器上的伪造http服务地址、触发smartbi向设置的EngineAddress外发token、使用获取的token进行登录。

本周OSCS社区收录了13个安全漏洞，包括WinRAR<6.23远程代码执行、Spring Kafka反序列化、Smartbi windowUnloading限制绕过、WPS Office远程代码执行和致远A8前台上传解压漏洞。NPM仓库监测到124个毒组件，其中70%获取主机敏感信息，20%获取用户敏感信息，10%安装木马后门文件。其他资讯包括Discord通知受数据泄露影响的用户和OSCS提供的情报订阅服务。

绿盟科技CERT监测到Smartbi修复了任意文件上传和删除漏洞。EvilProxy发送网络钓鱼邮件窃取Microsoft 365帐户。埃森哲威胁情报部门报告Mac暗网威胁行为者增加十倍。TETRA通信协议存在零日漏洞，可能暴露敏感信息。越南威胁行为者使用Yashma勒索软件变体勒索。Adobe修补30个Acrobat、Reader漏洞。安全研究人员发现Point.com API漏洞。Microsoft发布安全更新修复74个新漏洞。韩国Linux系统遭Rootkit攻击，汉堡王系统遭网络攻击泄露敏感凭证。

Smartbi V6及以上版本存在验证问题，允许攻击者绕过身份验证并执行远程代码。已发布补丁，但可以绕过。建议用户应用补丁并使用漏洞检测工具检查漏洞。

Smartbi商业智能软件修复了用户密码和DB2漏洞，Apple修复了0day内核漏洞，60000个Android设备安装了Spyhide应用程序，勒索软件组织声称对雅马哈发起双重攻击，AXIS A1001网络门控制器存在缓冲区溢出漏洞。

绿盟科技CERT监测到Smartbi官方修复了破解用户密码和DB2绕过判断执行命令漏洞。受影响的用户应尽快采取措施进行防护。官方已发布补丁包修复此漏洞，请使用Smartbi V6及以上版本产品的用户及时下载最新补丁包进行防护。

绿盟科技CERT监测到Smartbi官方修复了破解用户密码和DB2绕过判断执行命令漏洞。攻击者成功利用该漏洞后可获取用户访问权限，进一步入侵获得系统权限或执行命令，进而对目标系统造成破坏或篡改窃取敏感信息。受影响的用户应尽快采取措施进行防护。官方已发布补丁包修复此漏洞，请使用Smartbi V6及以上版本产品的用户及时下载最新补丁包进行防护。

绿盟科技CERT监测到Smartbi官方修复了一个登录代码逻辑漏洞，攻击者可利用该漏洞对目标系统进行攻击，最终造成敏感信息泄露。受影响范围为Smartbi >= V9。官方已发布补丁包修复此漏洞，建议受影响的用户及时安装防护。

绿盟科技CERT监测到Smartbi存在默认用户任意登录漏洞，攻击者可获取敏感信息，建议受影响用户安装官方补丁。

近日，绿盟科技CERT监测到Smartbi官方修复了一个MYSQL JDBC任意文件读取漏洞。

近期，攻击者利用Havoc的C框架针对政府组织进行攻击，Smartbi发布远程命令执行漏洞，黑客借虚假ChatGPT应用程序推送恶意软件，黑客声称入侵加拿大第二大电信公司Telus，为了应对这些威胁，Smartbi及GitLab官方发布安全更新，修复了远程命令执行漏洞及跨站脚本漏洞，建议受影响的用户及时采取措施进行防护。