安全漏洞声明

新增「帆软反序列化漏洞绕过漏洞」说明

新增「反序列化命令执行」高危漏洞说明

为预防后续可能的新增0day，请务必参考方案进行配置：限制IP访问工程

请先配置方案一，限制可访问工程的IP；

再选择方案二/三，限制可远程设计连接工程的IP。

关于“FineReport、FineBI产品安全” 声明20230814.pdf

截止 2023-08-12 10:30，护网指挥部尚未通知帆软有 0Day，消息真实性存疑

帆软产品的 channel 接口历史问题均在 2023-07-21 版本修复，若仍担心新增问题可以参考文档预防方案进行配置：限制IP访问工程

关于20230811网传《帆软channel接口0Day》声明.pdf

1）请升级至2023-07-21及之后版本，可直接从帆软官网获取/联系技术支持获取

2）如无法升级工程，请参考文档进行配置：限制IP访问工程

高危漏洞

• 命令注入

• 上传恶意脚本

• 远程代码执行

• 反序列化命令执行
  

中低危漏洞

• 越权

• 三方组件升级

JAR包时间在 2023-07 之前的FineReport10、FineReport11、FineBI6.0、FineBI5.x系列均受影响

1）请升级至2023-07-21及之后版本，可联系帆软技术支持获取

2）请参考文档 产品安全加固手册 对工程进行安全加固

反序列化漏洞

关键词：远程设计功能、channel接口、0v8s9ouoyo.jar

通过代理服务器或防火墙，限制IP的访问：

webroot/decision/remote/design/channel（限制后只允许受信任的 IP 进行报表远程设计，查看不受影响）

远程代码执行漏洞

描修改配置库，利用驱动管理执行恶意代码

仅 FineReport 11.0、FineBI 5.1.19 及以上版本支持该功能

该操作需要具备超级管理员权限，请增加管理员账号密码复杂度

任意代码执行漏洞（或网传的“前端任意代码执行”）

关键词：J2V8引擎

关于帆软《触发V8远程代码执行漏洞》声明.pdf

反序列化漏洞/命令注入漏洞

存在恶意插件「Timo测试插件」

plugin-com.fr.plugin.function.timo

反序列化漏洞

Fastjson反序列化漏洞CNVD-2022-40233

产品本身不受影响，但以下插件

「微信管理」

「钉钉管理」

「飞书管理」

「WeLink管理」

「网页内容解析库」

 JAR包时间在 2022-06-13 之前版本受影响

帆软关于《Fastjson反序列化漏洞》声明.pdf

文件写入getshell漏洞

关键词：SQLite

JAR包时间在 2022-07-04 之前的版本均受影响，此操作需要管理员权限

删除路径%FineBI5.1%\webapps\webroot\WEB-INF\lib 下的 sqlite 开头文件（删除后 SQLite 数据库相关的数据连接，包括 FRDemo 无法使用）

鉴权漏洞

2022-06-29移动端紧急重要公告

以下插件存在高危漏洞：

「HTML5移动端展现」

「微信管理」

「钉钉管理」

「飞书管理」

「Welink管理」

「云之家」

帆软软件紧急安全通知（6.29文）.pdf

远程公式执行漏洞

远程调用FineReport公式，绕过安全管理脚本调用公式限制

FineReport：

JAR包时间在2022-02-28之后版本

JAR包时间在2022-07-15之前版本

FineBI：

JAR包时间在2022-03-01之后版本

JAR包时间在2022-07-15之前版本（非FR10 适配版本）

Apache log4j2 安全漏洞

Log4j2 远程代码执行漏洞 CVE-2021-44228 公布时 FineReport 和 FineBI 使用的还是log4j1.2.17 不受影响

log4j1.2.17 相关漏洞均不受影响，并且 2022-02-17 之后版本已默认移除漏洞相关类文件

产品本身不受影响

10.0 版本使用1.2.17

11.0.2（2022-01-11）升级至2.17.1

11.0.7（2022-08-03）升级至2.18.0

升级以下插件：

Elasticsearch 数据集：V2.0.5及之后版本

Elasticsearch数据集-悦享版：V1.4.4及之后版本

悦享版文件上传下载：V16.2及之后版本