安全漏洞宣告

新增「授權使用者遠端命令執行」

新增「帆軟反序列化漏洞繞過漏洞」說明

新增「反序列化命令執行」高危漏洞說明

為預防後續可能的新增0day

1）參考：產品安全加固指導手冊

• 升級帆軟產品到最新版本

• 完成其他所有安全配置

2）參考：限制IP存取工程

優先配置方案一，禁用部分API（遠端設計、單點登入、老引擎）

再選擇方案二/三，限制連結工程的IP

关于“FineReport、FineBI产品安全” 声明20240510.pdf

弱通行碼通用漏洞

CNVD-2024-37222

請將「數據決策系統-管理系統-使用者管理」中，帆軟預設內建測試使用者刪除

如需要保留使用此部分內建使用者，請手動重置使用者密碼即可

使用者清單：Abby、Alice、Ben、Billy、Cherry、demo、eoco、hanwen、Jack、Jenny、Lisa、Mike、sunlin、wangwei、zhangshan

授權使用者遠端命令執行

安裝了V2.6.1~V2.9.0.4 版本的「FineVis資料視覺化」插件的工程

請參考「伺服器插件管理」升級「FineVis資料視覺化」插件至V2.9.0.5（2024.08.16發佈）及以上版本

关于“FineReport插件FVS”+漏洞声明20240816.pdf

請參考「伺服器插件管理」升級「FineVis資料視覺化」插件至V2.9.0.3（2024.08.04發佈）及以上版本

关于“FineReport的插件FVS” 漏洞声明20240804.pdf

FineReport資料視覺化模組FVS

多箇中危漏洞

對於FineReport2024.07.23/FineBI2024.07.24及以上版本的工程

• 請參考「伺服器插件管理」升級「FineVis資料視覺化」插件至V2.9.0.2（2024.07.24發佈）及以上版本

對於FineReport2024.07.23/FineBI2024.07.24之前版本的工程

• 請參考「產品安全加固指導手冊」升級工程至FineReport2024.07.23/FineBI2024.07.24及以上版本

• 請參考「伺服器插件管理」升級「FineVis資料視覺化」插件至V2.9.0.2（2024.07.24發佈）及以上版本

关于“报表可视化模块FVS安全” 声明20240725.pdf

/view/ReportServer命令執行（SQL注入）漏洞

別稱：

report-engine未授權遠端程式碼執行

CNVD-2024-30560

CNVD-2024-33679

CNVD-2024-36533

1）JAR包時間在 2024-07-23 之前的FineReport11.*、10.*系列

2）JAR包時間在 2024-07-24 之前的、維運平台或Tomcat部署包部署的FineBI全版本

3）JAR包時間在 2024-07-24 之前的FineDataLink全版本

優先透過升級工程修復此漏洞：

請升級至2024-07-23及之後版本，可參考產品安全加固指導手冊/聯絡技術支援獲取

請注意，對於FRBI整合工程，參考文檔升級BI即可，BI的JAR包中包含FR相關JAR，無需單獨升級

如無法升級工程，請完成以下兩步：

1）參考 限制IP存取工程 方案一禁用老引擎API

請注意，2024-07-22日，該方案的 url.properties 檔案已更新，請重新下載檔案並參考文檔配置

面向本漏洞的規則是：rule3=/view/ReportServer、rule4=/view/ReportServer/

如不希望禁用遠端設計和單點登入相關API，刪除相關rule即可

2）刪除工程/webapps/webroot/WEB-INF/lib下sqlite-jdbc-*.jar（刪除sqlite-jdbc-*.jar後無法使用SQLite資料連結）

請在驅動刪除後重啟工程以確定生效

對於維運平台部署的FineReport工程，刪除驅動方法與傳統部署略有不同，請參考文檔：維運平台部署的項目如何刪除sqlite驅動

关于viewReportServer安全漏洞声明0722.pdf

1）普通使用者認證後，透過channelAPI進行命令執行

2）普通使用者認證後，任意檔案下載

3）管理者使用者登入後，命令注入

1）請升級至2024-05及之後版本，可參考產品安全加固指導手冊/聯絡技術支援獲取

2）如無法升級工程，請參考文檔進行配置：限制IP存取工程

截止 2023-08-12 10:30，尚未通知帆軟有 0Day，訊息真實性存疑

帆軟產品的 channel API歷史問題均在 2023-07-21 版本修復，若仍擔心新增問題可以參考文檔預防方案進行配置：限制IP存取工程

关于20230811网传《帆软channel接口0Day》声明.pdf

1）請升級至2023-07-21及之後版本，可直接從帆軟官網獲取/聯絡技術支援獲取

2）如無法升級工程，請參考文檔進行配置：限制IP存取工程

高危漏洞

• 命令注入

• 上傳惡意腳本

• 遠端程式碼執行

• 反序列化命令執行
  

中低危漏洞

• 越權

• 三方組件升級

JAR包時間在 2023-07 之前的FineReport10、FineReport11、FineBI6.0、FineBI5.x系列均受影響

1）請升級至2023-07-21及之後版本，可聯絡帆軟技術支援獲取

2）請參考文檔 產品安全加固指導手冊 對工程進行安全加固

反序列化漏洞

關鍵詞：遠端設計功能、channelAPI、0v8s9ouoyo.jar

透過代理伺服器或防火牆，限制IP的存取：

webroot/decision/remote/design/channel（限制後只允許受信任的 IP 進行報表遠端設計，查看不受影響）

遠端程式碼執行漏洞

描修改配置庫，利用驅動管理執行惡意程式碼

僅 FineReport 11.0、FineBI 5.1.19 及以上版本支援該功能

該操作需要具備超級管理者權限，請增加管理者帳號密碼複雜度

任意程式碼執行漏洞（或網傳的“前端任意程式碼執行”）

關鍵詞：J2V8引擎

关于帆软《触发V8远程代码执行漏洞》声明.pdf

反序列化漏洞/命令注入漏洞

存在惡意插件「Timo測試插件」

plugin-com.fr.plugin.function.timo

反序列化漏洞

Fastjson反序列化漏洞CNVD-2022-40233

產品本身不受影響，但以下插件

「微信管理」

「釘釘管理」

「飛書管理」

「WeLink管理」

「網頁內容解析庫」

 JAR包時間在 2022-06-13 之前版本受影響

帆软关于《Fastjson反序列化漏洞》声明.pdf

檔案寫入getshell漏洞

關鍵詞：SQLite

JAR包時間在 2022-07-04 之前的版本均受影響，此操作需要管理者權限

刪除路徑%FineBI5.1%webappswebrootWEB-INFlib下的 sqlite 開頭檔案（刪除後 SQLite 資料庫相關的資料連結，包括 FRDemo 無法使用）

鑑權漏洞

2022-06-29行動端緊急重要公告

以下插件存在高危漏洞：

「HTML5行動端展現」

「微信管理」

「釘釘管理」

「飛書管理」

「Welink管理」

「雲之家」

帆软软件紧急安全通知（6.29文）.pdf

遠端公式執行漏洞

遠端呼叫FineReport公式，繞過安全管理腳本呼叫公式限制

FineReport：

JAR包時間在2022-02-28之後版本

JAR包時間在2022-07-15之前版本

FineBI：

JAR包時間在2022-03-01之後版本

JAR包時間在2022-07-15之前版本（非FR10 適配版本）

Apache log4j2 安全漏洞

Log4j2 遠端程式碼執行漏洞 CVE-2021-44228 公佈時 FineReport 和 FineBI 使用的還是log4j1.2.17 不受影響

log4j1.2.17 相關漏洞均不受影響，並且 2022-02-17 之後版本已預設移除漏洞相關類檔案

產品本身不受影響

10.0 版本使用1.2.17

11.0.2（2022-01-11）升級至2.17.1

11.0.7（2022-08-03）升級至2.18.0

升級以下插件：

Elasticsearch 資料集：V2.0.5及之後版本

Elasticsearch資料集-悅享版：V1.4.4及之後版本

悅享版檔案上傳下載：V16.2及之後版本