护网行动相关帆软安全漏洞声明

FineReport11.X

此为管理员用户正常的系统业务逻辑，并非漏洞。

关于网传帆软《后台远程代码执行漏洞》声明.pdf

网传帆软FineReport11.0版本可以修改默认驱动管理配置，上传恶意代码。

该操作需要具备系统管理员权限，安装插件并修改配置，属于正常系统业务逻辑。

仅FineReport 11.0版本、FineBI 5.1.19及以上版本支持该功能。

请增加管理员账号密码复杂度，删除「fine_conf_entity可视化」插件。

关于帆软《触发V8远程代码执行漏洞》声明.pdf

2022-08-01及之后版本修复该漏洞。

请更新升级至帆软JAR包时间2022-08-01以后版本。

更多解决方案请参考：触发V8远程代码执行漏洞申明

2022-07-29 channel接口反序列化漏洞，历史版本真实存在。

请联系帆软技术支持或帆软对接人，升级至最新版本。

技术支持联系方式：QQ「800049425」、电话「400-811-8890」。

-

部分老版本帆软应用被上传恶意插件，插件代码引入该漏洞。

请删除恶意插件「Timo测试插件」（插件包：plugin-com.fr.plugin.function.timo）并更新升级帆软版本。

关于帆软《未授权命令执行漏洞》声明.pdf

历史版本存在未授权命令执行漏洞。

请联系帆软技术支持或帆软对接人，升级至最新版本。

技术支持联系方式：QQ「800049425」、电话「400-811-8890」。

该漏洞确认是误报。

关于前端文件请求的安全说明.pdf

该类请求只能读取受限的静态资源文件（无敏感信息，本身就可公开），不存在「任意文件读取漏洞」。

帆软关于《log4j2漏洞》声明.pdf

FineReport 10.0版本、FineBI 5.1.19以下版本不受影响

FineReport 11.0版本、FineBI 5.1.19及以上版本，请联系技术支持更新升级至2022-08-01及以后版本。

技术支持联系方式：QQ「800049425」、电话「400-811-8890」。

帆软关于《Fastjson反序列化漏洞》声明.pdf

帆软在2022-06-13插件版本中已升级至没有漏洞的版本。

具体解决方案请参见：2022-06-29移动端紧急重要公告