FineReport 帆软报表前台远程代码执行漏洞
摘要
帆软报表是一款专业的企业级报表工具,专注于数据可视化与分析。它支持多数据源连接,能快速制作各类复杂报表和动态仪表板。通过拖拽式操作和灵活定制,帮助企业实现高效的数据决策与业务洞察。 2025年12月,长亭安全应急响应中心监测到帆软报表和数据决策系统存在远程代码执行漏洞。经分析,攻击者可利用export/excel接口构造SQL注入语句写入Webshell,进而获取服务器权限。由于该漏洞可组合SessionID泄露漏洞实现前台无条件利用,导致利用难度较低,建议受影响的用户尽快修复。 影响版本: FineReport 11.5.4及以下版本(2025.09.29及之前) FineBI 7.0.4及以下版本(2025.09.12及之前) FineBI 6.1.7.3及以下版本(2025.09.29及之前) FineBI 6.0.23.2及以下版本(2025.09.26及之前) FineDataLink 5.0.4.2及以下版本(2025.10.16及之前) FineDataLink 4.2.11.2及以下版本(2025.10.16及之前)
正文
Impact: 远程代码执行漏洞可能导致的危害包括但不限于: 1. 完全控制服务器:攻击者可以执行系统命令,获取服务器的完全控制权。 2. 数据泄露:攻击者可以访问、修改或删除服务器上的敏感数据。 3. 网站篡改:攻击者可以修改网站内容,进行钓鱼攻击或其他形式的欺诈。 4. 持久性后门:攻击者可以在服务器上安装后门,以便未来随时访问。 5. 服务中断:攻击者可以通过破坏服务器正常运行来导致服务中断。 Mitigation: 正式解决方案: 官方已于10月份发布安全补丁,并在12月15日更新了安全公告,建议受影响用户参考安全公告进行漏洞修复: https://help.fanruan.com/finereport/doc-view-4833.html 临时缓解方案: 如无法升级工程,请使用以下方案进行临时规避: 非运维平台部署的项目:请前往单机工程节点/每个集群工程节点,进入工程/webroot/WEB-INF/lib目录,删除sqlite相关驱动,并重启工程生效 运维平台部署的项目,或无法删除驱动重启的项目:请管理员登录帆软应用,点击「管理系统>数据连接>数据连接管理」,删除自行创建的sqlite类型的数据连接,删除产品内置的sqlite类型数据连接:FRDemo、BI Demo,无需重启工程即可生效
标签
- severity:critical
- source:chaitin
- type:vuln
扩展字段
{
"cnnvd_id": null,
"cnvd_id": null,
"cve_id": null,
"cvss3": {
"A": "H",
"AC": "L",
"AR": "X",
"AV": "N",
"C": "H",
"CR": "X",
"I": "H",
"IR": "X",
"MA": "X",
"MAC": "X",
"MAV": "X",
"MC": "X",
"MI": "X",
"MPR": "X",
"MS": "X",
"MUI": "X",
"PR": "N",
"S": "U",
"UI": "N"
},
"raw_updated_at": "2025-12-18T11:11:38.206426+08:00",
"references": [],
"severity": "critical",
"vuln_id": "683fd155-bb28-4441-99ab-481c8ffcd1e8"
}