反馈已提交
网络繁忙
本文汇总了:护网行动期间,与帆软相关的所有安全漏洞的申明。
1)升级产品,更新升级至产品2022-08-08及之后的版本(以JAR包日期为准)。请下载JAR包,并参考相关文档,升级工程。
FineReport11.X
2)删除恶意插件「Timo测试插件」(插件包:plugin-com.fr.plugin.function.timo)
注:无法升级的用户,请联系帆软技术支持获取规避方案。
此为管理员用户正常的系统业务逻辑,并非漏洞。
关于网传帆软《后台远程代码执行漏洞》声明.pdf
网传帆软FineReport11.0版本可以修改默认驱动管理配置,上传恶意代码。
该操作需要具备系统管理员权限,安装插件并修改配置,属于正常系统业务逻辑。
仅FineReport 11.0版本、FineBI 5.1.19及以上版本支持该功能。
请增加管理员账号密码复杂度,删除「fine_conf_entity可视化」插件。
关于帆软《触发V8远程代码执行漏洞》声明.pdf
2022-08-01及之后版本修复该漏洞。
请更新升级至帆软JAR包时间2022-08-01以后版本。
更多解决方案请参考:触发V8远程代码执行漏洞申明
2022-07-29 channel接口反序列化漏洞,历史版本真实存在。
请联系帆软技术支持或帆软对接人,升级至最新版本。
技术支持联系方式:QQ「800049425」、电话「400-811-8890」。
-
部分老版本帆软应用被上传恶意插件,插件代码引入该漏洞。
请删除恶意插件「Timo测试插件」(插件包:plugin-com.fr.plugin.function.timo)并更新升级帆软版本。
关于帆软《未授权命令执行漏洞》声明.pdf
历史版本存在未授权命令执行漏洞。
该漏洞确认是误报。
关于前端文件请求的安全说明.pdf
该类请求只能读取受限的静态资源文件(无敏感信息,本身就可公开),不存在「任意文件读取漏洞」。
帆软关于《log4j2漏洞》声明.pdf
FineReport 10.0版本、FineBI 5.1.19以下版本不受影响
FineReport 11.0版本、FineBI 5.1.19及以上版本,请联系技术支持更新升级至2022-08-01及以后版本。
帆软关于《Fastjson反序列化漏洞》声明.pdf
帆软在2022-06-13插件版本中已升级至没有漏洞的版本。
具体解决方案请参见:2022-06-29移动端紧急重要公告
售前咨询电话
400-811-8890转1
在线技术支持
在线QQ:800049425
热线电话:400-811-8890转2
总裁办24H投诉
热线电话:173-1278-1526
文 档反 馈
鼠标选中内容,快速反馈问题
鼠标选中存在疑惑的内容,即可快速反馈问题,我们将会跟进处理。
不再提示
10s后关闭