反饋已提交
網絡繁忙
新增「授權使用者遠端命令執行」
新增「帆軟反序列化漏洞繞過漏洞」說明
新增「反序列化命令執行」高危漏洞說明
帆軟 FineReport 8.* &9.* &10.*、FineBI4.*&5.*、FineDataLink4.0.* 系列及更早版本安全係數低,請聯絡帆軟大版本升級。
帆軟 FineReport11.*、FineBI6.*、FineDataLink4.1.* 系列產品。需要按照 產品安全加固指導手冊 對工程進行安全加固。
為預防後續可能的新增0day
1)參考:產品安全加固指導手冊
升級帆軟產品到最新版本
完成其他所有安全配置
2)參考:限制IP存取工程
優先配置方案一,禁用部分API(遠端設計、單點登入、老引擎)
再選擇方案二/三,限制連結工程的IP
关于“FineReport、FineBI产品安全” 声明20240510.pdf
弱通行碼通用漏洞
CNVD-2024-37222
請將「數據決策系統-管理系統-使用者管理」中,帆軟預設內建測試使用者刪除
如需要保留使用此部分內建使用者,請手動重置使用者密碼即可
使用者清單:Abby、Alice、Ben、Billy、Cherry、demo、eoco、hanwen、Jack、Jenny、Lisa、Mike、sunlin、wangwei、zhangshan
授權使用者遠端命令執行
安裝了V2.6.1~V2.9.0.4 版本的「FineVis資料視覺化」插件的工程
請參考「伺服器插件管理」升級「FineVis資料視覺化」插件至V2.9.0.5(2024.08.16發佈)及以上版本
关于“FineReport插件FVS”+漏洞声明20240816.pdf
請參考「伺服器插件管理」升級「FineVis資料視覺化」插件至V2.9.0.3(2024.08.04發佈)及以上版本
关于“FineReport的插件FVS” 漏洞声明20240804.pdf
FineReport資料視覺化模組FVS
多箇中危漏洞
對於FineReport2024.07.23/FineBI2024.07.24及以上版本的工程
請參考「伺服器插件管理」升級「FineVis資料視覺化」插件至V2.9.0.2(2024.07.24發佈)及以上版本
對於FineReport2024.07.23/FineBI2024.07.24之前版本的工程
請參考「產品安全加固指導手冊」升級工程至FineReport2024.07.23/FineBI2024.07.24及以上版本
关于“报表可视化模块FVS安全” 声明20240725.pdf
/view/ReportServer命令執行(SQL注入)漏洞
別稱:
report-engine未授權遠端程式碼執行
CNVD-2024-30560
CNVD-2024-33679
CNVD-2024-36533
1)JAR包時間在 2024-07-23 之前的FineReport11.*、10.*系列
2)JAR包時間在 2024-07-24 之前的、維運平台或Tomcat部署包部署的FineBI全版本
3)JAR包時間在 2024-07-24 之前的FineDataLink全版本
優先透過升級工程修復此漏洞:
請升級至2024-07-23及之後版本,可參考產品安全加固指導手冊/聯絡技術支援獲取
請注意,對於FRBI整合工程,參考文檔升級BI即可,BI的JAR包中包含FR相關JAR,無需單獨升級
如無法升級工程,請完成以下兩步:
1)參考 限制IP存取工程 方案一禁用老引擎API
請注意,2024-07-22日,該方案的 url.properties 檔案已更新,請重新下載檔案並參考文檔配置
面向本漏洞的規則是:rule3=/view/ReportServer、rule4=/view/ReportServer/
如不希望禁用遠端設計和單點登入相關API,刪除相關rule即可
2)刪除工程/webapps/webroot/WEB-INF/lib下sqlite-jdbc-*.jar(刪除sqlite-jdbc-*.jar後無法使用SQLite資料連結)
請在驅動刪除後重啟工程以確定生效
對於維運平台部署的FineReport工程,刪除驅動方法與傳統部署略有不同,請參考文檔:維運平台部署的項目如何刪除sqlite驅動
关于viewReportServer安全漏洞声明0722.pdf
1)普通使用者認證後,透過channelAPI進行命令執行
2)普通使用者認證後,任意檔案下載
3)管理者使用者登入後,命令注入
1)請升級至2024-05及之後版本,可參考產品安全加固指導手冊/聯絡技術支援獲取
2)如無法升級工程,請參考文檔進行配置:限制IP存取工程
截止 2023-08-12 10:30,尚未通知帆軟有 0Day,訊息真實性存疑
帆軟產品的 channel API歷史問題均在 2023-07-21 版本修復,若仍擔心新增問題可以參考文檔預防方案進行配置:限制IP存取工程
关于20230811网传《帆软channel接口0Day》声明.pdf
1)請升級至2023-07-21及之後版本,可直接從帆軟官網獲取/聯絡技術支援獲取
高危漏洞
命令注入
上傳惡意腳本
遠端程式碼執行
反序列化命令執行
中低危漏洞
越權
三方組件升級
JAR包時間在 2023-07 之前的FineReport10、FineReport11、FineBI6.0、FineBI5.x系列均受影響
1)請升級至2023-07-21及之後版本,可聯絡帆軟技術支援獲取
2)請參考文檔 產品安全加固指導手冊 對工程進行安全加固
反序列化漏洞
關鍵詞:遠端設計功能、channelAPI、0v8s9ouoyo.jar
透過代理伺服器或防火牆,限制IP的存取:
webroot/decision/remote/design/channel(限制後只允許受信任的 IP 進行報表遠端設計,查看不受影響)
遠端程式碼執行漏洞
描修改配置庫,利用驅動管理執行惡意程式碼
僅 FineReport 11.0、FineBI 5.1.19 及以上版本支援該功能
該操作需要具備超級管理者權限,請增加管理者帳號密碼複雜度
任意程式碼執行漏洞(或網傳的“前端任意程式碼執行”)
關鍵詞:J2V8引擎
关于帆软《触发V8远程代码执行漏洞》声明.pdf
反序列化漏洞/命令注入漏洞
存在惡意插件「Timo測試插件」
plugin-com.fr.plugin.function.timo
Fastjson反序列化漏洞CNVD-2022-40233
產品本身不受影響,但以下插件
「微信管理」
「釘釘管理」
「飛書管理」
「WeLink管理」
「網頁內容解析庫」
JAR包時間在 2022-06-13 之前版本受影響
帆软关于《Fastjson反序列化漏洞》声明.pdf
檔案寫入getshell漏洞
關鍵詞:SQLite
JAR包時間在 2022-07-04 之前的版本均受影響,此操作需要管理者權限
刪除路徑%FineBI5.1%webappswebrootWEB-INFlib下的 sqlite 開頭檔案(刪除後 SQLite 資料庫相關的資料連結,包括 FRDemo 無法使用)
鑑權漏洞
2022-06-29行動端緊急重要公告
以下插件存在高危漏洞:
「HTML5行動端展現」
「Welink管理」
「雲之家」
帆软软件紧急安全通知(6.29文).pdf
遠端公式執行漏洞
遠端呼叫FineReport公式,繞過安全管理腳本呼叫公式限制
FineReport:
JAR包時間在2022-02-28之後版本
JAR包時間在2022-07-15之前版本
FineBI:
JAR包時間在2022-03-01之後版本
JAR包時間在2022-07-15之前版本(非FR10 適配版本)
Apache log4j2 安全漏洞
Log4j2 遠端程式碼執行漏洞 CVE-2021-44228 公佈時 FineReport 和 FineBI 使用的還是log4j1.2.17 不受影響
log4j1.2.17 相關漏洞均不受影響,並且 2022-02-17 之後版本已預設移除漏洞相關類檔案
產品本身不受影響
10.0 版本使用1.2.17
11.0.2(2022-01-11)升級至2.17.1
11.0.7(2022-08-03)升級至2.18.0
升級以下插件:
Elasticsearch 資料集:V2.0.5及之後版本
Elasticsearch資料集-悅享版:V1.4.4及之後版本
悅享版檔案上傳下載:V16.2及之後版本
滑鼠選中內容,快速回饋問題
滑鼠選中存在疑惑的內容,即可快速回饋問題,我們將會跟進處理。
不再提示
10s後關閉
反馈已提交
网络繁忙