反馈已提交

网络繁忙

安全漏洞声明

  • 文档创建者:Carly
  • 历史版本:82
  • 最近更新:Carly 于 2024-09-13
  • 1. 概述

    1.1 版本

    日期
    更新说明
    2024-09-13新增「弱口令通用漏洞」
    2024-08-16

    新增「授权用户远程命令执行

    2024-08-04新增「FineReport数据可视化模块FVS目录穿越漏洞」声明
    2024-07-25新增「FineReport数据可视化模块FVS的安全」声明
    2024-07-22新增「/view/ReportServer?test=&n=接口漏洞」声明
    2024-05-08新增2023-08至今漏洞修复相关说明
    2023-08-14新增「预防后续可能的新增0Day」说明
    2023-08-11新增「20230811网传帆软channel接口存在0day」说明
    2023-08-09

    新增「帆软反序列化漏洞绕过漏洞」说明

    新增「反序列化命令执行」高危漏洞说明

    2023-08-08新增2023漏洞说明

    1.2 应用场景

    帆软 FineReport 8.* &9.* &10.*、FineBI4.*&5.*、FineDataLink4.0.* 系列及更早版本安全系数低,请联系帆软大版本升级。

    帆软 FineReport11.*、FineBI6.*、FineDataLink4.1.* 系列产品。需要按照 产品安全加固手册 对工程进行安全加固。

    2. 漏洞声明

    漏洞描述
    影响版本解决方案声明文件
    必读!!!


    预防后续可能的新增0Day-

    为预防后续可能的新增0day

    1)参考:产品安全加固手册

    • 升级帆软产品到最新版本

    • 完成其他所有安全配置

    2)参考限制IP访问工程

    优先配置方案一,禁用部分接口(远程设计、单点登录、老引擎)

    再选择方案二/三,限制连接工程的IP

    关于“FineReport、FineBI产品安全” 声明20240510.pdf

    2024年


    弱口令通用漏洞

    CNVD-2024-37222

    非运维平台部署的工程

    请将「数据决策系统-管理系统-用户管理」中,帆软默认内置的测试用户删

    如需要保留使用此部分内置用户,请手动重置用户密码即可

    用户清单:Abby、Alice、Ben、Billy、Cherry、demo、eoco、hanwen、Jack、Jenny、Lisa、Mike、sunlin、wangwei、zhangshan

    -

    授权用户远程命令执行

    安装了V2.6.1~V2.9.0.4 版本的「FineVis数据可视化」插件的工程

    请参考服务器插件管理升级FineVis数据可视化」插件至V2.9.0.5(2024.08.16发布)及以上版本

    关于“FineReport插件FVS”+漏洞声明20240816.pdf

    FVS目录穿越漏洞安装了V2.7.1~V2.9.0.2 版本的「FineVis数据可视化」插件的工程

    请参考服务器插件管理升级FineVis数据可视化」插件至V2.9.0.3(2024.08.04发布)及以上版本

    关于“FineReport的插件FVS” 漏洞声明20240804.pdf

    FineReport数据可视化模块FVS

    多个中危漏洞

    安装了V2.6.1~V2.9.0.1 版本的「FineVis数据可视化」插件的工程

    对于FineReport2024.07.23/FineBI2024.07.24及以上版本的工程

    对于FineReport2024.07.23/FineBI2024.07.24之前版本的工程

    关于“报表可视化模块FVS安全” 声明20240725.pdf

    /view/ReportServer命令执行(SQL注入)漏洞

    别称:

    report-engine未授权远程代码执行

    CNVD-2024-30560

    CNVD-2024-33679

    CNVD-2024-36533

    1)JAR包时间在 2024-07-23 之前的FineReport11.*、10.*系列

    2)JAR包时间在 2024-07-24 之前的、运维平台或Tomcat部署包部署的FineBI全版本

    3)JAR包时间在 2024-07-24 之前的FineDataLink全版本

    优先通过升级工程修复此漏洞:

    升级至2024-07-23及之后版本,可参考产品安全加固手册/联系技术支持获取

    请注意,对于FRBI集成工程,参考文档升级BI即可,BI的JAR包中包含FR相关JAR,无需单独升级


    如无法升级工程,请完成以下两步:

    1)参考 限制IP访问工程 方案一禁用老引擎接口

    请注意,2024-07-22日,该方案的 url.properties 文件已更新,请重新下载文件并参考文档配置

    面向本漏洞的规则是:rule3=/view/ReportServer、rule4=/view/ReportServer/

    如不希望禁用远程设计和单点登录相关接口,删除相关rule即可

    2)删除工程/webapps/webroot/WEB-INF/lib下sqlite-jdbc-*.jar(删除sqlite-jdbc-*.jar后无法使用SQLite数据连接)

    请在驱动删除后重启工程以确保生效

    对于运维平台部署的FineReport工程,删除驱动方法与传统部署略有不同,请参考文档:运维平台部署的项目如何删除sqlite驱动

    关于viewReportServer安全漏洞声明0722.pdf

    1)普通用户认证后,通过channel接口进行命令执行

    2)普通用户认证后,任意文件下载

    3)管理员用户登录后,命令注入

    JAR包时间在 2024-04 之前的FineReport、FineBI、FineDataLink均受影响

    1)请升级至2024-05及之后版本,可参考产品安全加固手册/联系技术支持获取

    2)如无法升级工程,请参考文档进行配置:限制IP访问工程

    /
    2023年


    20230811网传帆软channel接口存在0day

    截止 2023-08-12 10:30,尚未通知帆软有 0Day,消息真实性存疑

    帆软产品的 channel 接口历史问题均在 2023-07-21 版本修复,若仍担心新增问题可以参考文档预防方案进行配置:限制IP访问工程

    关于20230811网传《帆软channel接口0Day》声明.pdf

    帆软反序列化漏洞绕过漏洞JAR包时间在 2023-07 之前的FineReport10、FineReport11、FineBI6.0、FineBI5.x系列均受影响

    1)请升级至2023-07-21及之后版本,可直接从帆软官网获取/联系技术支持获取

    2)如无法升级工程,请参考文档进行配置:限制IP访问工程

    /

    高危漏洞

    • 命令注入

    • 上传恶意脚本

    • 远程代码执行

    • 反序列化命令执行

    中低危漏洞

    • 越权

    • 三方组件升级

    JAR包时间在 2023-07 之前的FineReport10、FineReport11、FineBI6.0、FineBI5.x系列均受影响

    1)请升级至2023-07-21及之后版本,可联系帆软技术支持获取

    2)请参考文档 产品安全加固手册 对工程进行安全加固

    /
    2022年及之前


    反序列化漏洞

    关键词:远程设计功能、channel接口、0v8s9ouoyo.jar

    JAR包时间在 2022-08-12 之前的 FineReport10.0/11.0、FineBI5.1 系列均受影响

    通过代理服务器或防火墙,限制IP的访问:

    webroot/decision/remote/design/channel(限制后只允许受信任的 IP 进行报表远程设计,查看不受影响)

    /

    远程代码执行漏洞

    描修改配置库,利用驱动管理执行恶意代码

    仅 FineReport 11.0、FineBI 5.1.19 及以上版本支持该功能

    该操作需要具备超级管理员权限,请增加管理员账号密码复杂度

    将驱动管理配置恢复为默认关闭状态,修改管理员账号密码/

    任意代码执行漏洞(或网传的“前端任意代码执行”)

    关键词:J2V8引擎

    JAR包时间在2022-08-12之前的版本均受影响解决方案见:触发V8远程代码执行漏洞

    关于帆软《触发V8远程代码执行漏洞》声明.pdf

    反序列化漏洞/命令注入漏洞

    存在恶意插件「Timo测试插件」

    plugin-com.fr.plugin.function.timo

    该操作需要已被上传恶意插件,请检查插件列表中是否有不明插件检查插件列表/

    反序列化漏洞

    Fastjson反序列化漏洞CNVD-2022-40233

    产品本身不受影响,但以下插件

    「微信管理」

    「钉钉管理」

    「飞书管理」

    「WeLink管理」

    「网页内容解析库」

     JAR包时间在 2022-06-13 之前版本受影响

    升级插件

    帆软关于《Fastjson反序列化漏洞》声明.pdf


    文件写入getshell漏洞

    关键词:SQLite

    JAR包时间在 2022-07-04 之前的版本均受影响,此操作需要管理员权限

    删除路径%FineBI5.1%webappswebrootWEB-INFlib 下的 sqlite 开头文件(删除后 SQLite 数据库相关的数据连接,包括 FRDemo 无法使用)

    /

    鉴权漏洞

    2022-06-29移动端紧急重要公告

    以下插件存在高危漏洞:

    「HTML5移动端展现」

    「微信管理」

    「钉钉管理」

    「飞书管理」

    「Welink管理」

    「云之家」

    升级插件

    帆软软件紧急安全通知(6.29文).pdf


    远程公式执行漏洞

    远程调用FineReport公式,绕过安全管理脚本调用公式限制

    FineReport:

    JAR包时间在2022-02-28之后版本

    JAR包时间在2022-07-15之前版本

    FineBI:

    JAR包时间在2022-03-01之后版本

    JAR包时间在2022-07-15之前版本(非FR10 适配版本)

    无临时方案,影响范围较小一般不存在升级问题。/

    Apache log4j2 安全漏洞

    Log4j2 远程代码执行漏洞 CVE-2021-44228 公布时 FineReport 和 FineBI 使用的还是log4j1.2.17 不受影响

    log4j1.2.17 相关漏洞均不受影响,并且 2022-02-17 之后版本已默认移除漏洞相关类文件

    产品本身不受影响

    10.0 版本使用1.2.17

    11.0.2(2022-01-11)升级至2.17.1

    11.0.7(2022-08-03)升级至2.18.0

    升级以下插件:

    Elasticsearch 数据集:V2.0.5及之后版本

    Elasticsearch数据集-悦享版:V1.4.4及之后版本

    悦享版文件上传下载:V16.2及之后版本

    /


    附件列表


    主题: 部署集成
    • 有帮助
    • 没帮助
    • 只是浏览
    中文(简体)

    鼠标选中内容,快速反馈问题

    鼠标选中存在疑惑的内容,即可快速反馈问题,我们将会跟进处理。

    不再提示

    10s后关闭



    AI

    联系我们
    在线支持
    获取专业技术支持,快速帮助您解决问题
    工作日9:00-12:00,13:30-17:30在线
    页面反馈
    针对当前网页的建议、问题反馈
    售前咨询
    采购需求/获取报价/预约演示
    或拨打: 400-811-8890 转1
    qr
    热线电话
    咨询/故障救援热线:400-811-8890转2
    总裁办24H投诉:17312781526
    提交页面反馈
    仅适用于当前网页的意见收集,帆软产品问题请在 问答板块提问前往服务平台 获取技术支持