反饋已提交

網絡繁忙

安全漏洞宣告

1. 概述

1.1 版本

日期
更新說明
2025-10-20新增「export/excel SQL注入漏洞」
2025-06-19新增「kafka clients 安全漏洞」
2025-03-31

新增「普通使用者任意檔案讀取漏洞」

新增「hsql 命令執行漏洞」

新增「mysql jdbc任意檔案讀取漏洞」

2024-11-01新增「print_ie_pdf SQL注入漏洞」
2024-09-13新增「弱通行碼通用漏洞」
2024-08-15

新增「授權使用者遠端命令執行

2024-08-04新增「FineReport資料視覺化模組FVS目錄穿越漏洞」宣告
2024-07-25新增「FineReport資料視覺化模組FVS的安全」宣告
2024-07-22新增「/view/ReportServer?test=&n=API漏洞」宣告
2024-05-08新增2023-08至今漏洞修複相關說明
2023-08-14新增「預防後續可能的新增0Day」說明
2023-08-11新增「20230811網傳帆軟channelAPI存在0day」說明
2023-08-09

新增「帆軟反序列化漏洞繞過漏洞」說明

新增「反序列化命令執行」高危漏洞說明

2023-08-08新增2023漏洞說明

1.2 應用場景

帆軟 FineReport 10.* & 9.* & 8.*、FineBI5.* & 4.*、FineDataLink4.1.* & 4.0.* 系列及更早版本已停止維護,請交握帆軟大版本升級到FineReport11.*、FineBI6.*、FineDataLink4.2.*

帆軟 FineReport11.*、FineBI6.*、FineDataLink4.2.*系列產品。需要按照 產品安全加固指導手冊 對工程進行安全加固。

2. 漏洞宣告

漏洞描述
影響版本解決方案宣告檔案
必讀!!!


預防後續可能的新增0Day-

為預防後續可能的新增0day

1)參考:產品安全加固指導手冊

  • 升級帆軟產品到最新版本

  • 完成其他所有安全配置

2)參考限制IP存取工程

優先配置方案一,禁用部分API(遠端設計、單點登入、老引擎)

再選擇方案二/三,限制連結工程的IP

-

2025年


export/excel SQL注入漏洞

影響版本

FineReport11.5.4及以下版本(2025.09.29及之前)

FineBI7.0.4及以下版本(2025.09.12及之前)

FineBI6.1.7.3及以下版本(2025.09.29及之前)

FineBI6.0.23.2及以下版本(2025.09.26及之前)

FineDataLink5.0.4.2及以下版本(2025.10.16及之前)

FineDataLink4.2.11.2及以下版本(2025.10.16及之前)

漏洞描述:工程中存在sqlite驅動,且存在sqlite類型的資料連結,會存在export/excel SQL注入漏洞

優先透過升級工程修復此漏洞:

1)請開啟「範本認證」設定(此設定項一般預設開啟)

2)請升級工程至以下版本,可參考產品安全加固指導手冊/聯絡技術支援獲取

FineReport11.5.4及以上版本(2025.10.20發佈,注意一定要確認JAR包日期符合要求)

FineBI7.0.5及以上版本(2025.11.07發佈)

FineBI6.1.8及以上版本(2025.10.21發佈)

FineBI6.0.24及以上版本(2025.10.20發佈)

FineDataLink5.0.4.3及以上版本(2025.10.23發佈)

FineDataLink4.2.11.3及以上版本(2025.10.23發佈)


如無法升級工程,請使用以下方案進行臨時規避:

  • 非維運平台部署的專案:


1)請開啟「範本認證」設定(此設定項一般預設開啟)

2)刪除sqlite相關驅動

前往單機工程節點/每個叢集工程節點,進入工程/webroot/WEB-INF/lib目錄,刪除sqlite相關驅動,並重啟工程生效

  • 維運平台部署的專案,或無法刪除驅動重啟的專案:

1)請開啟「範本認證」設定(此設定項一般預設開啟)

2)刪除sqlite相關資料連結

請管理者登入帆軟應用,點選「管理系統>資料連結>資料連結管理」,刪除自行建立的sqlite類型的資料連結,刪除產品內建sqlite類型資料連結:FRDemo、BI Demo,無需重啟工程即可生效

請注意:刪除sqlite驅動,或刪除sqlite類型資料連結,會導致呼叫了sqlite資料連結的範本無法正常預覽使用。

帆软export_excel SQL注入漏洞问题说明.pdf
kafka clients 安全漏洞
請升級FineDataLink工程至4.2.7.3及以上版本(2025.06.19發佈),可參考產品安全加固指導手冊/聯絡技術支援獲取-
普通使用者任意檔案讀取漏洞影響版本:FineReport11.0.32及以下版本、FineBI6.0.21及以下版本、FineBI6.1.5及以下版本

漏洞描述:工程任意使用者,可以透過構造非法請求,讀取伺服器檔案內容

請升級工程至以下版本,可參考產品安全加固指導手冊/聯絡技術支援獲取

FineReport11.0.33及以上版本(2025.03.31發佈)

FineBI6.0.22及以上版本(2025.04.17發佈)

FineBI6.1.6及以上版本(2025.04.30發佈)

-
hsql 命令執行漏洞影響版本:FineReport11.0.32及以下版本、FineBI6.0.21及以下版本、FineBI6.1.5及以下版本

漏洞描述:擁有遠端設計權限的使用者,透過構造遠端設計反序列請求,達成命令執行

優先透過升級工程修復此漏洞:

請升級工程至以下版本,可參考產品安全加固指導手冊/聯絡技術支援獲取

FineReport11.0.33及以上版本(2025.03.31發佈)

FineBI6.0.22及以上版本(2025.04.17發佈)

FineBI6.1.6及以上版本(2025.04.30發佈)


如無法升級工程,請使用以下方案進行臨時規避:

請參考 限制IP存取工程 方案一禁用遠端設計API

面向本漏洞的規則是:rule=/remote/design/channel、rule0=/remote/design/channel/

如不希望禁用單點登入和老引擎相關API,刪除相關rule即可

-
mysql jdbc任意檔案讀取漏洞

影響版本:FineReport11.0.32及以下版本、FineBI6.0.21及以下版本、FineBI6.1.5及以下版本、FineDataLink4.2.2.3及以下版

漏洞描述:工程中存在MySQL驅動,擁有資料連結編輯權限的使用者可以透過mysql jdbc 驅動進行任意檔案讀取

優先透過升級工程修復此漏洞:

請升級工程至以下版本,可參考產品安全加固指導手冊/聯絡技術支援獲取

FineReport11.0.33及以上版本(2025.03.31發佈)

FineBI6.0.22及以上版本(2025.04.17發佈)

FineBI6.1.6及以上版本(2025.04.30發佈)

FineDataLink4.2.2.4及以上版本(2025.01.23發佈)


如無法升級工程,請使用以下方案進行臨時規避:

  • 請先確定工程未使用MySQL類型的外接配置庫。如使用到相關資料庫,請先遷移配置庫,否則刪除驅動後無法正常使用工程。

  • 請先確定工程未使用MySQL類型的資料連結。如使用到相關資料庫,請自行遷移資料庫資料並重新配置其他類型的資料連結(可保持資料連結名稱一致),否則刪除驅動後無法正常呼叫資料。

  • 請前往單機工程節點/每個叢集工程節點,進入工程/webroot/WEB-INF/lib目錄,刪除MySQL相關驅動

-
2024年


print_ie_pdf SQL注入漏洞

V11前台rce

FineReport11.0.29及以下版本、FineBI6.0.20及以下版本、FineBI6.1.3及以下版本

請升級工程至以下版本,可參考產品安全加固指導手冊/聯絡技術支援獲取

FineReport11.0.30及以上版本(2024.11.01發佈)

FineBI6.0.21及以上版本(2024.11.26發佈)

FineBI6.1.4及以上版本(2024.12.17發佈)

关于print_ie_pdf漏洞的说明.pdf

弱通行碼通用漏洞

CNVD-2024-37222

非維運平台部署的工程

請將「數據決策系統-管理系統-使用者管理」中,帆軟預設內建測試使用者刪

如需要保留使用此部分內建使用者,請手動重置使用者密碼即可

使用者清單:Abby、Alice、Ben、Billy、Cherry、demo、eoco、hanwen、Jack、Jenny、Lisa、Mike、sunlin、wangwei、zhangshan

-

授權使用者遠端命令執行CNVD-2024-45455

安裝了V2.6.1~V2.9.0.4 版本的「FineVis資料視覺化」插件的工程

請參考伺服器插件管理升級FineVis資料視覺化」插件至V2.9.1.1(2024.08.30發佈)及以上版本

关于“FineReport插件FVS”+漏洞声明20240816.pdf

FVS目錄穿越漏洞安裝了V2.7.1~V2.9.0.2 版本的「FineVis資料視覺化」插件的工程

請參考伺服器插件管理升級FineVis資料視覺化」插件至V2.9.1.1(2024.08.30發佈)及以上版本

关于“FineReport的插件FVS” 漏洞声明20240804.pdf

FineReport資料視覺化模組FVS

多箇中危漏洞

安裝了V2.6.1~V2.9.0.1 版本的「FineVis資料視覺化」插件的工程

對於FineReport2024.07.23/FineBI2024.07.23及以上版本的工程

對於FineReport2024.07.23/FineBI2024.07.23之前版本的工程

关于“报表可视化模块FVS安全” 声明20240725.pdf

/view/ReportServer命令執行(SQL注入)漏洞

別稱:

report-engine未授權遠端程式碼執行

CNVD-2024-30560

CNVD-2024-33679

CNVD-2024-36533

1)JAR包時間在 2024-07-23 之前的FineReport11.*、10.*系列

2)JAR包時間在 2024-07-23 之前的、維運平台或Tomcat部署包部署的FineBI全版本

3)JAR包時間在 2024-07-23 之前的FineDataLink全版本

優先透過升級工程修復此漏洞:

升級至2024-07-23及之後版本,可參考產品安全加固指導手冊/交握技術支援獲取

請注意,對於FRBI整合工程,參考文檔升級BI即可,BI的JAR包中包含FR相關JAR,無需單獨升級


如無法升級工程,請完成以下兩步:

1)參考 限制IP存取工程 方案一禁用老引擎API

請注意,2024-07-22日,該方案的 url.properties 檔案已更新,請重新下載檔案並參考文檔配置

面向本漏洞的規則是:rule3=/view/ReportServer、rule4=/view/ReportServer/

如不希望禁用遠端設計和單點登入相關API,刪除相關rule即可

2)刪除工程/webapps/webroot/WEB-INF/lib下sqlite-jdbc-*.jar(刪除sqlite-jdbc-*.jar後無法使用SQLite資料連結)

請在驅動刪除後重啟工程以確定生效

對於維運平台部署的FineReport工程,刪除驅動方法與傳統部署略有不同,請參考文檔:維運平台部署的專案如何刪除sqlite驅動

关于viewReportServer安全漏洞声明0722.pdf

1)普通使用者認證後,透過channelAPI進行命令執行

2)普通使用者認證後,任意檔案下載

3)管理者使用者登入後,命令注入

JAR包時間在 2024-04 之前的FineReport、FineBI、FineDataLink均受影響

1)請升級至2024-05及之後版本,可參考產品安全加固指導手冊/交握技術支援獲取

2)如無法升級工程,請參考文檔進行配置:限制IP存取工程

/
2023年


20230811網傳帆軟channelAPI存在0day

截止 2023-08-12 10:30,尚未通知帆軟有 0Day,訊息真實性存疑

帆軟產品的 channel API歷史問題均在 2023-07-21 版本修復,若仍擔心新增問題可以參考文檔預防方案進行配置:限制IP存取工程

关于20230811网传《帆软channel接口0Day》声明.pdf

帆軟反序列化漏洞繞過漏洞JAR包時間在 2023-07 之前的FineReport10、FineReport11、FineBI6.0、FineBI5.x系列均受影響

1)請升級至2023-07-21及之後版本,可直接從帆軟官網獲取/交握技術支援獲取

2)如無法升級工程,請參考文檔進行配置:限制IP存取工程

/

高危漏洞

  • 命令注入

  • 上傳惡意腳本

  • 遠端程式碼執行

  • 反序列化命令執行

中低危漏洞

  • 越權

  • 三方組件升級

JAR包時間在 2023-07 之前的FineReport10、FineReport11、FineBI6.0、FineBI5.x系列均受影響

1)請升級至2023-07-21及之後版本,可交握帆軟技術支援獲取

2)請參考文檔 產品安全加固指導手冊 對工程進行安全加固

/
2022年及之前


反序列化漏洞

關鍵詞:遠端設計功能、channelAPI、0v8s9ouoyo.jar

JAR包時間在 2022-08-12 之前的 FineReport10.0/11.0、FineBI5.1 系列均受影響

透過代理伺服器或防火牆,限制IP的存取:

webroot/decision/remote/design/channel(限制後只允許受信任的 IP 進行報表遠端設計,查看不受影響)

/

遠端程式碼執行漏洞

描修改配置庫,利用驅動管理執行惡意程式碼

僅 FineReport 11.0、FineBI 5.1.19 及以上版本支援該功能

該操作需要具備超級管理者權限,請增加管理者帳號密碼複雜度

將驅動管理配置恢復為預設關閉狀態,修改管理者帳號密碼/

任意程式碼執行漏洞(或網傳的“前端任意程式碼執行”)

關鍵詞:J2V8引擎

JAR包時間在2022-08-12之前的版本均受影響解決方案見:觸發V8遠端程式碼執行漏洞

关于帆软《触发V8远程代码执行漏洞》声明.pdf

反序列化漏洞/命令注入漏洞

存在惡意插件「Timo測試插件」

plugin-com.fr.plugin.function.timo

該操作需要已被上傳惡意插件,請檢查插件列表中是否有不明插件檢查插件列表/

反序列化漏洞

Fastjson反序列化漏洞CNVD-2022-40233

產品本身不受影響,但以下插件

「微信管理」

「釘釘管理」

「飛書管理」

「WeLink管理」

「網頁內容解析庫」

 JAR包時間在 2022-06-13 之前版本受影響

升級插件

帆软关于《Fastjson反序列化漏洞》声明.pdf


檔案寫入getshell漏洞

關鍵詞:SQLite

JAR包時間在 2022-07-04 之前的版本均受影響,此操作需要管理者權限

刪除路徑%FineBI5.1%webappswebrootWEB-INFlib下的 sqlite 開頭檔案(刪除後 SQLite 資料庫相關的資料連結,包括 FRDemo 無法使用)

/

鑑權漏洞

2022-06-29行動端緊急重要公告

以下插件存在高危漏洞:

「HTML5行動端展現」

「微信管理」

「釘釘管理」

「飛書管理」

「Welink管理」

「雲之家」

升級插件

帆软软件紧急安全通知(6.29文).pdf


遠端公式執行漏洞

遠端呼叫FineReport公式,繞過安全管理腳本呼叫公式限制

FineReport:

JAR包時間在2022-02-28之後版本

JAR包時間在2022-07-15之前版本

FineBI:

JAR包時間在2022-03-01之後版本

JAR包時間在2022-07-15之前版本(非FR10 適配版本)

無臨時方案,影響範圍較小一般不存在升級問題。/

Apache log4j2 安全漏洞

Log4j2 遠端程式碼執行漏洞 CVE-2021-44228 公佈時 FineReport 和 FineBI 使用的還是log4j1.2.17 不受影響

log4j1.2.17 相關漏洞均不受影響,並且 2022-02-17 之後版本已預設移除漏洞相關類檔案

產品本身不受影響

10.0 版本使用1.2.17

11.0.2(2022-01-11)升級至2.17.1

11.0.7(2022-08-03)升級至2.18.0

升級以下插件:

Elasticsearch 資料集:V2.0.5及之後版本

Elasticsearch資料集-悅享版:V1.4.4及之後版本

悅享版檔案上傳下載:V16.2及之後版本

/


附件列表


主題: 部署集成
  • 有幫助
  • 沒幫助
  • 只是瀏覽
  • 圖片不清晰
  • 用語看不懂
  • 功能說明看不懂
  • 操作說明太簡單
  • 內容有錯誤
中文(繁體)

滑鼠選中內容,快速回饋問題

滑鼠選中存在疑惑的內容,即可快速回饋問題,我們將會跟進處理。

不再提示

10s後關閉

獲取幫助
線上支援
獲取專業技術支援,快速幫助您解決問題
工作日9:00-12:00,13:30-17:30在线
頁面反饋
針對當前網頁的建議、問題反饋
售前咨詢
業務咨詢
電話:0933-790886或 0989-092892
郵箱:taiwan@fanruan.com
頁面反饋
*問題分類
不能為空
問題描述
0/1000
不能為空

反馈已提交

网络繁忙