思迈特软件收到项目反馈，核查存在“某种特定情况下破解用户密码”的漏洞问题。此次安全漏洞主要是涉及Smartbi产品自身的安全漏洞，因涉及安全隐患，具体的安全漏洞攻击细节不方便对外暴露。

Smartbi V6-V11版本

如果客户想要调用getPassword接口，更新安全补丁包即可，更新补丁包后实现的是限制用户调用相关接口，只能获取用户自身的密码。

如用户无需使用getPassword接口，可设置ALLOW_CALL_GET_PASSWORD_METHOD=false，禁止调用接口getPassword。不同版本之间存在差异，具体如何配置，详见下文。

Smartbi V6~V95版本无ALLOW_CALL_GET_PASSWORD_METHOD 配置项，需要更新安全补丁后才能配置。

SQL# 新增配置项insert into t_systemconfig(c_key, c_value) values('ALLOW_CALL_GET_PASSWORD_METHOD','false')# 更新配置项update t_systemconfig set c_value='false' where c_key='ALLOW_CALL_GET_PASSWORD_METHOD'

PropertiesALLOW_CALL_GET_PASSWORD_METHOD=false

ALLOW_CALL_GET_PASSWORD_METHOD设置为false时，Web链接中的传递登录信息功能时，是不能获取到用户密码的。

在V6版本中，效果如下：

在V7-V8版本中，效果是会话超时：

V9及以上版本，，效果是提示没有权限，需要前往系统选项高级设置中启用接口：

建议：

①增加密码复杂度，降低被破解的风险。

②已遭到攻击的客户，请尽快修改密码。