1. 概述
1.1 版本
| 日期 | 更新说明 |
|---|---|
| 2025-06-19 | 新增「kafka clients 安全漏洞」 |
| 2025-03-31 | 新增「普通用户任意文件读取漏洞」 新增「hsql 命令执行漏洞」 新增「mysql jdbc任意文件读取漏洞」 |
| 2024-11-01 | 新增「print_ie_pdf SQL注入漏洞」 |
| 2024-09-13 | 新增「弱口令通用漏洞」 |
| 2024-08-15 | 新增「授权用户远程命令执行」 |
| 2024-08-04 | 新增「FineReport数据可视化模块FVS目录穿越漏洞」声明 |
| 2024-07-25 | 新增「FineReport数据可视化模块FVS的安全」声明 |
| 2024-07-22 | 新增「/view/ReportServer?test=&n=接口漏洞」声明 |
| 2024-05-08 | 新增2023-08至今漏洞修复相关说明 |
| 2023-08-14 | 新增「预防后续可能的新增0Day」说明 |
| 2023-08-11 | 新增「20230811网传帆软channel接口存在0day」说明 |
| 2023-08-09 | 新增「帆软反序列化漏洞绕过漏洞」说明 新增「反序列化命令执行」高危漏洞说明 |
| 2023-08-08 | 新增2023漏洞说明 |
1.2 应用场景
帆软 FineReport 10.* & 9.* & 8.*、FineBI5.* & 4.*、FineDataLink4.1.* & 4.0.* 系列及更早版本已停止维护,请联系帆软大版本升级到FineReport11.*、FineBI6.*、FineDataLink4.2.*
帆软 FineReport11.*、FineBI6.*、FineDataLink4.2.*系列产品。需要按照 产品安全加固手册 对工程进行安全加固。
2. 漏洞声明
| 漏洞描述 | 影响版本 | 解决方案 | 声明文件 |
|---|---|---|---|
| 必读!!! | |||
| 预防后续可能的新增0Day | - | 为预防后续可能的新增0day 1)参考:产品安全加固手册
2)参考:限制IP访问工程 优先配置方案一,禁用部分接口(远程设计、单点登录、老引擎) 再选择方案二/三,限制连接工程的IP | - |
| 2025年 | |||
| kafka clients 安全漏洞 | FineDataLink4.2.7.1及以下版本 | 请升级FineDataLink工程至4.2.7.3及以上版本(2025.06.19发布),可参考产品安全加固手册/联系技术支持获取 | - |
| 普通用户任意文件读取漏洞 | 影响版本:FineReport11.0.32及以下版本、FineBI6.0.21及以下版本、FineBI6.1.5及以下版本 漏洞描述:工程任意用户,可以通过构造非法请求,读取服务器文件内容 | 请升级工程至以下版本,可参考产品安全加固手册/联系技术支持获取 FineReport11.0.33及以上版本(2025.03.31发布) FineBI6.0.22及以上版本(2025.04.17发布) FineBI6.1.6及以上版本(2025.04.30发布) | - |
| hsql 命令执行漏洞 | 影响版本:FineReport11.0.32及以下版本、FineBI6.0.21及以下版本、FineBI6.1.5及以下版本 漏洞描述:拥有远程设计权限的用户,通过构造远程设计反序列请求,达成命令执行 | 优先通过升级工程修复此漏洞: 请升级工程至以下版本,可参考产品安全加固手册/联系技术支持获取 FineReport11.0.33及以上版本(2025.03.31发布) FineBI6.0.22及以上版本(2025.04.17发布) FineBI6.1.6及以上版本(2025.04.30发布) 如无法升级工程,请使用以下方案进行临时规避: 请参考 限制IP访问工程 方案一禁用远程设计接口 面向本漏洞的规则是:rule=/remote/design/channel、rule0=/remote/design/channel/ 如不希望禁用单点登录和老引擎相关接口,删除其他rule即可 | - |
| mysql jdbc任意文件读取漏洞 | 影响版本:FineReport11.0.32及以下版本、FineBI6.0.21及以下版本、FineBI6.1.5及以下版本、FineDataLink4.2.2.3及以下版本 漏洞描述:当工程中存在MySQL驱动,拥有数据连接编辑权限的用户可以通过mysql jdbc 驱动进行任意文件读取 | 优先通过升级工程修复此漏洞: 请升级工程至以下版本,可参考产品安全加固手册/联系技术支持获取 FineReport11.0.33及以上版本(2025.03.31发布) FineBI6.0.22及以上版本(2025.04.17发布) FineBI6.1.6及以上版本(2025.04.30发布) FineDataLink4.2.2.4及以上版本(2025.01.23发布) 如无法升级工程,请使用以下方案进行临时规避:
| - |
| 2024年 | |||
print_ie_pdf SQL注入漏洞 V11前台rce | FineReport11.0.29及以下版本、FineBI6.0.20及以下版本、FineBI6.1.3及以下版本 | 请升级工程至以下版本,可参考产品安全加固手册/联系技术支持获取 FineReport11.0.30及以上版本(2024.11.01发布) FineBI6.0.21及以上版本(2024.11.26发布) FineBI6.1.4及以上版本(2024.12.17发布) | |
弱口令通用漏洞 CNVD-2024-37222 | 非运维平台部署的工程 | 请将「数据决策系统-管理系统-用户管理」中,帆软默认内置的测试用户删除 如需要保留使用此部分内置用户,请手动重置用户密码即可 用户清单:Abby、Alice、Ben、Billy、Cherry、demo、eoco、hanwen、Jack、Jenny、Lisa、Mike、sunlin、wangwei、zhangshan | - |
授权用户远程命令执行 CNVD-2024-45455 | 安装了V2.6.1~V2.9.0.4 版本的「FineVis数据可视化」插件的工程 | 请参考「服务器插件管理」升级「FineVis数据可视化」插件至V2.9.1.1(2024.08.30发布)及以上版本 | |
| FVS目录穿越漏洞 | 安装了V2.7.1~V2.9.0.2 版本的「FineVis数据可视化」插件的工程 | 请参考「服务器插件管理」升级「FineVis数据可视化」插件至V2.9.1.1(2024.08.30发布)及以上版本 | |
FineReport数据可视化模块FVS 多个中危漏洞 | 安装了V2.6.1~V2.9.0.1 版本的「FineVis数据可视化」插件的工程 | 对于FineReport2024.07.23/FineBI2024.07.23及以上版本的工程
对于FineReport2024.07.23/FineBI2024.07.23之前版本的工程
| |
/view/ReportServer命令执行(SQL注入)漏洞 别称: report-engine未授权远程代码执行 CNVD-2024-30560 CNVD-2024-33679 CNVD-2024-36533 | 1)JAR包时间在 2024-07-23 之前的FineReport11.*、10.*系列 2)JAR包时间在 2024-07-23 之前的、运维平台或Tomcat部署包部署的FineBI全版本 3)JAR包时间在 2024-07-23 之前的FineDataLink全版本 | 优先通过升级工程修复此漏洞: 请升级至2024-07-23及之后版本,可参考产品安全加固手册/联系技术支持获取 请注意,对于FRBI集成工程,参考文档升级BI即可,BI的JAR包中包含FR相关JAR,无需单独升级 如无法升级工程,请完成以下两步: 1)参考 限制IP访问工程 方案一禁用老引擎接口 面向本漏洞的规则是:rule3=/view/ReportServer、rule4=/view/ReportServer/ 如不希望禁用远程设计和单点登录相关接口,删除相关rule即可 2)删除工程/webapps/webroot/WEB-INF/lib下sqlite-jdbc-*.jar(删除sqlite-jdbc-*.jar后无法使用SQLite数据连接) 请在驱动删除后重启工程以确保生效 对于运维平台部署的FineReport工程,删除驱动方法与传统部署略有不同,请参考文档:运维平台部署的项目如何删除sqlite驱动 | |
| JAR包时间在 2024-04 之前的FineReport、FineBI、FineDataLink均受影响 | 1)请升级至2024-05及之后版本,可参考产品安全加固手册/联系技术支持获取 2)如无法升级工程,请参考文档进行配置:限制IP访问工程 | / | |
| 2023年 | |||
| 20230811网传帆软channel接口存在0day | 截止 2023-08-12 10:30,尚未通知帆软有 0Day,消息真实性存疑 | 帆软产品的 channel 接口历史问题均在 2023-07-21 版本修复,若仍担心新增问题可以参考文档预防方案进行配置:限制IP访问工程 | |
| 帆软反序列化漏洞绕过漏洞 | JAR包时间在 2023-07 之前的FineReport10、FineReport11、FineBI6.0、FineBI5.x系列均受影响 | 1)请升级至2023-07-21及之后版本,可直接从帆软官网获取/联系技术支持获取 2)如无法升级工程,请参考文档进行配置:限制IP访问工程 | / |
高危漏洞
中低危漏洞
| JAR包时间在 2023-07 之前的FineReport10、FineReport11、FineBI6.0、FineBI5.x系列均受影响 | 1)请升级至2023-07-21及之后版本,可联系帆软技术支持获取 2)请参考文档 产品安全加固手册 对工程进行安全加固 | / |
| 2022年及之前 | |||
反序列化漏洞 关键词:远程设计功能、channel接口、0v8s9ouoyo.jar | JAR包时间在 2022-08-12 之前的 FineReport10.0/11.0、FineBI5.1 系列均受影响 | 通过代理服务器或防火墙,限制IP的访问: webroot/decision/remote/design/channel(限制后只允许受信任的 IP 进行报表远程设计,查看不受影响) | / |
远程代码执行漏洞 描修改配置库,利用驱动管理执行恶意代码 | 仅 FineReport 11.0、FineBI 5.1.19 及以上版本支持该功能 该操作需要具备超级管理员权限,请增加管理员账号密码复杂度 | 将驱动管理配置恢复为默认关闭状态,修改管理员账号密码 | / |
任意代码执行漏洞(或网传的“前端任意代码执行”) 关键词:J2V8引擎 | JAR包时间在2022-08-12之前的版本均受影响 | 解决方案见:触发V8远程代码执行漏洞 | |
反序列化漏洞/命令注入漏洞 存在恶意插件「Timo测试插件」 plugin-com.fr.plugin.function.timo | 该操作需要已被上传恶意插件,请检查插件列表中是否有不明插件 | 检查插件列表 | / |
反序列化漏洞 Fastjson反序列化漏洞CNVD-2022-40233 | 产品本身不受影响,但以下插件 「微信管理」 「钉钉管理」 「飞书管理」 「WeLink管理」 「网页内容解析库」 JAR包时间在 2022-06-13 之前版本受影响 | 升级插件 | |
文件写入getshell漏洞 关键词:SQLite | JAR包时间在 2022-07-04 之前的版本均受影响,此操作需要管理员权限 | 删除路径%FineBI5.1%webappswebrootWEB-INFlib 下的 sqlite 开头文件(删除后 SQLite 数据库相关的数据连接,包括 FRDemo 无法使用) | / |
鉴权漏洞 2022-06-29移动端紧急重要公告 | 以下插件存在高危漏洞: 「HTML5移动端展现」 「微信管理」 「钉钉管理」 「飞书管理」 「Welink管理」 「云之家」 | 升级插件 | |
远程公式执行漏洞 远程调用FineReport公式,绕过安全管理脚本调用公式限制 | FineReport: JAR包时间在2022-02-28之后版本 JAR包时间在2022-07-15之前版本 FineBI: JAR包时间在2022-03-01之后版本 JAR包时间在2022-07-15之前版本(非FR10 适配版本) | 无临时方案,影响范围较小一般不存在升级问题。 | / |
Apache log4j2 安全漏洞 Log4j2 远程代码执行漏洞 CVE-2021-44228 公布时 FineReport 和 FineBI 使用的还是log4j1.2.17 不受影响 log4j1.2.17 相关漏洞均不受影响,并且 2022-02-17 之后版本已默认移除漏洞相关类文件 | 产品本身不受影响 10.0 版本使用1.2.17 11.0.2(2022-01-11)升级至2.17.1 11.0.7(2022-08-03)升级至2.18.0 | 升级以下插件: Elasticsearch 数据集:V2.0.5及之后版本 Elasticsearch数据集-悦享版:V1.4.4及之后版本 悦享版文件上传下载:V16.2及之后版本 | / |
上一篇:WebLogic部署问题
