一、聲明
經帆軟內部安全組日常排查,於 2022 年 6 月 29 日 晚發現 FineReport、FineBI 產品中的內建插件【HTML5行動端展現】;以及【微信管理】、【釘釘管理】、【飛書管理】、【WeLink管理】、【雲之家】插件,共 6 個插件存在安全性問題,根據當前排查結果顯示,漏洞情況屬於高危。
| 受影響產品 | 大版本 | 受影響主JAR時間 |
|---|---|---|
| FineReport | 10.0 | 2020-11-25 至 2022-06-15 |
| 11.0 | 所有 | |
| FineBI | 5.1系列 | 2020-11-25 至 2022-06-15 |
注:請參考 版本資訊 查詢JAR包版本。
二、解決方案
1
方案一:更新插件 - HTML5行動端展現。
方案僅适用於【HTML5移動端展現】插件。插件版本在V10.4.90 及以後,在【插件管理】中,升級插件到最新版本即可。如下圖所示。
注:插件版本號在 V10.4.90 之前不受影響,保持原樣。不支援升級,因為插件依賴主 JAR ,過早的版本無法相容。
内網客戶可以直接下載下面的升級包後,點選【從本地更新】上傳插件升級包更新。詳情參見文檔:伺服器插件管理。
升級插件後,需要重新整理一下介面生效。
| 插件名稱 | FR11.0更新插件 | FR10.0更新插件 | 不用更新 |
|---|---|---|---|
| HTML5行動端展現 | V10.4.90 之前 |
2
方案一:更新插件 - 雲之家插件。
FR11.0 版本插件解決方案:在【插件管理】中,升級插件到最新版本即可。
FR10.0 版本插件解決方案及插件獲取,如下表所示。
| 不同版本解決方案 | 雲之家插件 |
|---|---|
| 主 JAR 版本在 2021-05-25 及以後,商城直接更新至最新的插件。 | - |
| 主 JAR 版本在 2020-11-25 至 2021-05-24 之間,需要卸載原有插件,并下載使用右側的插件安裝包重新進行安裝。 | |
主 JAR 版本在 2020-11-25 以前,無該安全問題,無需批量處理插件。 注:若後續将主 JAR 版本更新,需采用主 JAR 更新後的日期版本所對應的插件處理方式。 | - |
3
方案一:更新插件 - 其他插件。
注:其他插件的更新和卸載安裝步驟,詳情可參見文檔:伺服器插件管理。
FR11.0 版本 & BI 5.1.19 及以後版本,插件解決方案及插件獲取如下表所示。
| 不同版本解決方案 | 微信管理插件 | 釘釘管理插件 | 飛書管理插件 | WeLink管理插件 |
|---|---|---|---|---|
插件商城更新至最新插件 版本要求: JAR 包版本 2022-01-12 及以後 插件版本:11.0.54 及以後 | com.fr.plugin.weixin.v11-11.0.67.zip | |||
| 卸載并安裝插件 版本要求: JAR 包版本 2021-11-02 到 2021-12-15 插件版本:11.0.37 至 11.0.52 |
FR10.0 版本 & BI 5.1.18.* 及之前版本,插件解決方案及插件獲取如下表所示。
| 不同版本解決方案 | 微信管理插件 | 釘釘管理插件 |
|---|---|---|
| 主 JAR 版本在 2020-11-25 及以後,商城直接更新最新的插件 | ||
| 主 JAR 版本在 2020-11-25 之前,無該安全問題,無需批量處理插件 注:若後續将主 JAR 版本更新至 2020-11-25 之後需同步更新微信釘釘插件至最新商城版本。 | - | - |
4
方案二:禁用插件。
在【管理系統】→【插件管理】中找到插件,點選【禁用】。操作步驟如下圖1所示。
完成後刷新界面,效果如下圖2所示。
注:設計器禁用插件的具體操作詳見 伺服器-設計器插件管理 中的第二章第八小節。
三、帆軟修複說明
當前所有問題插件已經修複完成。
