一、聲明
3月29日,Spring 框架曝出 RCE 0day 漏洞。帆軟軟體的產品 FineReport 、FineBI 安裝版不受影響。Web容器部署部分場景有影響。
二、影響說明
| 產品 | 部署方式 | 是否受影響 | 說明 | 處理建議 |
|---|---|---|---|---|
FineBI & FineReport | 所有版本安裝包部署 | 否 | 使用的內建jdk為1.8。 | 無需關注 |
webroot包,web容器方式部署jdk<9 | 否 | 檢查客戶部署時配置的jdk版本低於9則不受影響。 | 無需關注 | |
webroot包,web容器方式部署jdk>9 | 可能有影响 | 滿足漏洞的必要非充分條件。 目前沒有漏洞POC被公開,無法驗證我們使用jdk >9時產品是否受影響。 | 更換容器中jdk環境變數為1.8版本的jdk |
三、補充
Spring 框架近期爆出的另外兩個漏洞,Spring Cloud Gateway 存在代碼注入漏洞(漏洞編號 CVE-2022-22947)、Spring Cloud Function SPEL 注入遠端命令執行漏洞,FR、BI 產品均不受影響。
