Acerca del autor span Sharon, product manager en Chaitin Tech. Construimos SafeLine, un Web Application Firewall de código abierto orientado a amenazas reales. Mientras SafeLine se centra en protección a nivel HTTP, nuestro centro de respuesta a emergencias monitorea y responde a vulnerabilidades de RCE y autenticación en toda la pila para ayudar a desarrolladores a mantenerse seguros.
Título Vulnerabilidad RCE en Smartbi - Parchear ahora antes de que los atacantes lo hagan
Resumen Smartbi es una plataforma empresarial de Business Intelligence ampliamente utilizada para visualización de datos, integración multiorigen e informes. El 31 de julio de 2025 Smartbi publicó un parche de seguridad que corrige una vulnerabilidad de Remote Code Execution RCE que permite eludir la autenticación mediante un identificador de recurso por defecto y obtener tokens de sesión válidos para invocar métodos peligrosos del backend y ejecutar comandos de forma remota en el servidor afectado. La dificultad de explotación es baja y el impacto puede ser crítico, por lo que se considera un parche de alta prioridad para todos los usuarios de Smartbi.
Causa raíz Un diseño defectuoso en el mecanismo de autenticación permite a un atacante utilizar un resource ID por defecto para omitir la validación de sesión y conseguir tokens válidos. Con estos tokens se pueden invocar APIs del backend que realizan llamadas reflectivas a métodos peligrosos, provocando ejecución remota de código.
Impacto Compromiso total del servidor, exfiltración de datos y compromiso de sistemas críticos de negocio.
Detalles de la vulnerabilidad Tipo: Remote Code Execution RCE. Severidad: Alta. Vector de ataque: remoto por red. Autenticación requerida: ninguna. Interacción del usuario: ninguna. Requisitos del sistema: configuración por defecto. Disponibilidad de exploit: sin PoC público conocido al momento. Complejidad de la corrección: baja con parche oficial disponible.
Versiones afectadas Smartbi <= 11.0.99471.25193
Soluciones recomendadas Parche permanente: actualizar inmediatamente a la versión parcheada disponible en https://www.smartbi.com.cn/patchinfo. Mitigación temporal: evitar exponer Smartbi directamente a Internet; colocar reglas de firewall y WAF, restringir acceso por VPN o IPs permitidas, deshabilitar funciones innecesarias y monitorear logs en busca de actividad inusual.
Reproducción y PoC No existe evidencia pública de PoC ampliamente difundido en el momento de este aviso. Se recomienda aplicar el parche oficial y revisar registros de acceso y auditoría para detectar posibles intentos de explotación.
Soporte de productos Yuntu: soporta fingerprinting y detección de PoC. Dongjian: detección de PoC prevista para 18 de agosto de 2025. SafeLine WAF: ya soporta detección de esta vulnerabilidad. Quanxi: paquete de actualización de reglas previsto para 18 de agosto de 2025.
Línea de tiempo 31 de julio de 2025 - Smartbi publica parche oficial. 18 de agosto de 2025 - Centro de Respuesta a Emergencias de Chaitin emite asesoría pública.
Acerca de Q2BSTUDIO Q2BSTUDIO es una empresa de desarrollo de software y aplicaciones a medida especializada en software a medida, aplicaciones a medida, inteligencia artificial y ciberseguridad. Ofrecemos servicios cloud AWS y Azure, servicios de inteligencia de negocio e implementación de Power BI, desarrollos de IA para empresas, agentes IA y soluciones personalizadas que integran analítica avanzada y protección de entornos. Nuestro equipo puede ayudar a auditar, parchear y endurecer despliegues de Smartbi, implementar WAF, soluciones de monitoreo y respuestas automatizadas mediante agentes IA para minimizar riesgos y mejorar la resiliencia operacional.
Recomendación final Parchear inmediatamente y, si necesita ayuda, contactar a Q2BSTUDIO para servicios de evaluación de vulnerabilidades, corrección de incidentes, implementación de soluciones de ciberseguridad y proyectos de inteligencia artificial y BI. Palabras clave para posicionamiento: aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA, power bi.