反饋已提交
網絡繁忙
新增「普通使用者任意檔案讀取漏洞」
新增「hsql 命令執行漏洞」
新增「mysql jdbc任意檔案讀取漏洞」
新增「授權使用者遠端命令執行」
新增「帆軟反序列化漏洞繞過漏洞」說明
新增「反序列化命令執行」高危漏洞說明
帆軟 FineReport 10.* & 9.* & 8.*、FineBI5.* & 4.*、FineDataLink4.1.* & 4.0.* 系列及更早版本已停止維護,請交握帆軟大版本升級到FineReport11.*、FineBI6.*、FineDataLink4.2.*
帆軟 FineReport11.*、FineBI6.*、FineDataLink4.2.*系列產品。需要按照 產品安全加固指導手冊 對工程進行安全加固。
為預防後續可能的新增0day
1)參考:產品安全加固指導手冊
升級帆軟產品到最新版本
完成其他所有安全配置
2)參考:限制IP存取工程
優先配置方案一,禁用部分API(遠端設計、單點登入、老引擎)
再選擇方案二/三,限制連結工程的IP
-
影響版本:
FineReport11.5.4及以下版本(2025.09.29及之前)
FineBI7.0.4及以下版本(2025.09.12及之前)
FineBI6.1.7.3及以下版本(2025.09.29及之前)
FineBI6.0.23.2及以下版本(2025.09.26及之前)
FineDataLink5.0.4.2及以下版本(2025.10.16及之前)
FineDataLink4.2.11.2及以下版本(2025.10.16及之前)
漏洞描述:當工程中存在sqlite驅動,且存在sqlite類型的資料連結,會存在export/excel SQL注入漏洞
優先透過升級工程修復此漏洞:
1)請開啟「範本認證」設定(此設定項一般預設開啟)
2)請升級工程至以下版本,可參考產品安全加固指導手冊/聯絡技術支援獲取
FineReport11.5.4及以上版本(2025.10.20發佈,注意一定要確認JAR包日期符合要求)
FineBI7.0.5及以上版本(2025.11.07發佈)
FineBI6.1.8及以上版本(2025.10.21發佈)
FineBI6.0.24及以上版本(2025.10.20發佈)
FineDataLink5.0.4.3及以上版本(2025.10.23發佈)
FineDataLink4.2.11.3及以上版本(2025.10.23發佈)
如無法升級工程,請使用以下方案進行臨時規避:
非維運平台部署的專案:
2)刪除sqlite相關驅動
請前往單機工程節點/每個叢集工程節點,進入工程/webroot/WEB-INF/lib目錄,刪除sqlite相關驅動,並重啟工程生效
維運平台部署的專案,或無法刪除驅動重啟的專案:
2)刪除sqlite相關資料連結
請管理者登入帆軟應用,點選「管理系統>資料連結>資料連結管理」,刪除自行建立的sqlite類型的資料連結,刪除產品內建sqlite類型資料連結:FRDemo、BI Demo,無需重啟工程即可生效
請注意:刪除sqlite驅動,或刪除sqlite類型資料連結,會導致呼叫了sqlite資料連結的範本無法正常預覽使用。
漏洞描述:工程任意使用者,可以透過構造非法請求,讀取伺服器檔案內容
請升級工程至以下版本,可參考產品安全加固指導手冊/聯絡技術支援獲取
FineReport11.0.33及以上版本(2025.03.31發佈)
FineBI6.0.22及以上版本(2025.04.17發佈)
FineBI6.1.6及以上版本(2025.04.30發佈)
漏洞描述:擁有遠端設計權限的使用者,透過構造遠端設計反序列請求,達成命令執行
請參考 限制IP存取工程 方案一禁用遠端設計API
面向本漏洞的規則是:rule=/remote/design/channel、rule0=/remote/design/channel/
如不希望禁用單點登入和老引擎相關API,刪除相關rule即可
影響版本:FineReport11.0.32及以下版本、FineBI6.0.21及以下版本、FineBI6.1.5及以下版本、FineDataLink4.2.2.3及以下版本
漏洞描述:當工程中存在MySQL驅動,擁有資料連結編輯權限的使用者可以透過mysql jdbc 驅動進行任意檔案讀取
FineDataLink4.2.2.4及以上版本(2025.01.23發佈)
請先確定工程未使用MySQL類型的外接配置庫。如使用到相關資料庫,請先遷移配置庫,否則刪除驅動後無法正常使用工程。
請先確定工程未使用MySQL類型的資料連結。如使用到相關資料庫,請自行遷移資料庫資料並重新配置其他類型的資料連結(可保持資料連結名稱一致),否則刪除驅動後無法正常呼叫資料。
請前往單機工程節點/每個叢集工程節點,進入工程/webroot/WEB-INF/lib目錄,刪除MySQL相關驅動
print_ie_pdf SQL注入漏洞
V11前台rce
FineReport11.0.30及以上版本(2024.11.01發佈)
FineBI6.0.21及以上版本(2024.11.26發佈)
FineBI6.1.4及以上版本(2024.12.17發佈)
弱通行碼通用漏洞
CNVD-2024-37222
請將「數據決策系統-管理系統-使用者管理」中,帆軟預設內建測試使用者刪除
如需要保留使用此部分內建使用者,請手動重置使用者密碼即可
使用者清單:Abby、Alice、Ben、Billy、Cherry、demo、eoco、hanwen、Jack、Jenny、Lisa、Mike、sunlin、wangwei、zhangshan
授權使用者遠端命令執行CNVD-2024-45455
安裝了V2.6.1~V2.9.0.4 版本的「FineVis資料視覺化」插件的工程
請參考「伺服器插件管理」升級「FineVis資料視覺化」插件至V2.9.1.1(2024.08.30發佈)及以上版本
关于“FineReport插件FVS”+漏洞声明20240816.pdf
关于“FineReport的插件FVS” 漏洞声明20240804.pdf
FineReport資料視覺化模組FVS
多箇中危漏洞
對於FineReport2024.07.23/FineBI2024.07.23及以上版本的工程
對於FineReport2024.07.23/FineBI2024.07.23之前版本的工程
請參考「產品安全加固指導手冊」升級工程至FineReport2024.07.23/FineBI2024.07.23及以上版本
关于“报表可视化模块FVS安全” 声明20240725.pdf
/view/ReportServer命令執行(SQL注入)漏洞
別稱:
report-engine未授權遠端程式碼執行
CNVD-2024-30560
CNVD-2024-33679
CNVD-2024-36533
1)JAR包時間在 2024-07-23 之前的FineReport11.*、10.*系列
2)JAR包時間在 2024-07-23 之前的、維運平台或Tomcat部署包部署的FineBI全版本
3)JAR包時間在 2024-07-23 之前的FineDataLink全版本
請升級至2024-07-23及之後版本,可參考產品安全加固指導手冊/交握技術支援獲取
請注意,對於FRBI整合工程,參考文檔升級BI即可,BI的JAR包中包含FR相關JAR,無需單獨升級
如無法升級工程,請完成以下兩步:
1)參考 限制IP存取工程 方案一禁用老引擎API
請注意,2024-07-22日,該方案的 url.properties 檔案已更新,請重新下載檔案並參考文檔配置
面向本漏洞的規則是:rule3=/view/ReportServer、rule4=/view/ReportServer/
如不希望禁用遠端設計和單點登入相關API,刪除相關rule即可
2)刪除工程/webapps/webroot/WEB-INF/lib下sqlite-jdbc-*.jar(刪除sqlite-jdbc-*.jar後無法使用SQLite資料連結)
請在驅動刪除後重啟工程以確定生效
對於維運平台部署的FineReport工程,刪除驅動方法與傳統部署略有不同,請參考文檔:維運平台部署的專案如何刪除sqlite驅動
关于viewReportServer安全漏洞声明0722.pdf
1)普通使用者認證後,透過channelAPI進行命令執行
2)普通使用者認證後,任意檔案下載
3)管理者使用者登入後,命令注入
1)請升級至2024-05及之後版本,可參考產品安全加固指導手冊/交握技術支援獲取
2)如無法升級工程,請參考文檔進行配置:限制IP存取工程
截止 2023-08-12 10:30,尚未通知帆軟有 0Day,訊息真實性存疑
帆軟產品的 channel API歷史問題均在 2023-07-21 版本修復,若仍擔心新增問題可以參考文檔預防方案進行配置:限制IP存取工程
关于20230811网传《帆软channel接口0Day》声明.pdf
1)請升級至2023-07-21及之後版本,可直接從帆軟官網獲取/交握技術支援獲取
高危漏洞
命令注入
上傳惡意腳本
遠端程式碼執行
反序列化命令執行
中低危漏洞
越權
三方組件升級
JAR包時間在 2023-07 之前的FineReport10、FineReport11、FineBI6.0、FineBI5.x系列均受影響
1)請升級至2023-07-21及之後版本,可交握帆軟技術支援獲取
2)請參考文檔 產品安全加固指導手冊 對工程進行安全加固
反序列化漏洞
關鍵詞:遠端設計功能、channelAPI、0v8s9ouoyo.jar
透過代理伺服器或防火牆,限制IP的存取:
webroot/decision/remote/design/channel(限制後只允許受信任的 IP 進行報表遠端設計,查看不受影響)
遠端程式碼執行漏洞
描修改配置庫,利用驅動管理執行惡意程式碼
僅 FineReport 11.0、FineBI 5.1.19 及以上版本支援該功能
該操作需要具備超級管理者權限,請增加管理者帳號密碼複雜度
任意程式碼執行漏洞(或網傳的“前端任意程式碼執行”)
關鍵詞:J2V8引擎
关于帆软《触发V8远程代码执行漏洞》声明.pdf
反序列化漏洞/命令注入漏洞
存在惡意插件「Timo測試插件」
plugin-com.fr.plugin.function.timo
Fastjson反序列化漏洞CNVD-2022-40233
產品本身不受影響,但以下插件
「微信管理」
「釘釘管理」
「飛書管理」
「WeLink管理」
「網頁內容解析庫」
JAR包時間在 2022-06-13 之前版本受影響
帆软关于《Fastjson反序列化漏洞》声明.pdf
檔案寫入getshell漏洞
關鍵詞:SQLite
JAR包時間在 2022-07-04 之前的版本均受影響,此操作需要管理者權限
刪除路徑%FineBI5.1%webappswebrootWEB-INFlib下的 sqlite 開頭檔案(刪除後 SQLite 資料庫相關的資料連結,包括 FRDemo 無法使用)
鑑權漏洞
2022-06-29行動端緊急重要公告
以下插件存在高危漏洞:
「HTML5行動端展現」
「Welink管理」
「雲之家」
帆软软件紧急安全通知(6.29文).pdf
遠端公式執行漏洞
遠端呼叫FineReport公式,繞過安全管理腳本呼叫公式限制
FineReport:
JAR包時間在2022-02-28之後版本
JAR包時間在2022-07-15之前版本
FineBI:
JAR包時間在2022-03-01之後版本
JAR包時間在2022-07-15之前版本(非FR10 適配版本)
Apache log4j2 安全漏洞
Log4j2 遠端程式碼執行漏洞 CVE-2021-44228 公佈時 FineReport 和 FineBI 使用的還是log4j1.2.17 不受影響
log4j1.2.17 相關漏洞均不受影響,並且 2022-02-17 之後版本已預設移除漏洞相關類檔案
產品本身不受影響
10.0 版本使用1.2.17
11.0.2(2022-01-11)升級至2.17.1
11.0.7(2022-08-03)升級至2.18.0
升級以下插件:
Elasticsearch 資料集:V2.0.5及之後版本
Elasticsearch資料集-悅享版:V1.4.4及之後版本
悅享版檔案上傳下載:V16.2及之後版本
滑鼠選中內容,快速回饋問題
滑鼠選中存在疑惑的內容,即可快速回饋問題,我們將會跟進處理。
不再提示
10s後關閉
反馈已提交
网络繁忙