新增「帆软反序列化漏洞绕过漏洞」说明

新增「反序列化命令执行」高危漏洞说明

为预防后续可能的新增0day

1）参考：产品安全加固手册

• 升级帆软产品到最新版本

• 完成其他所有安全配置

2）参考：限制IP访问工程

优先配置方案一，禁用部分接口（远程设计、单点登录、老引擎）

再选择方案二/三，限制连接工程的IP

关于“FineReport、FineBI产品安全” 声明20240510.pdf

「FineVis数据可视化」插件是FR工程默认安装的插件，请检查是否安装了该插件，并参考「服务器插件管理」禁用该插件即可

如需使用FineVis相关功能

请参考「服务器插件管理」升级「FineVis数据可视化」插件至V2.9.0.3（2024.08.04发布）及以上版本

关于“FineReport的插件FVS” 漏洞声明20240804.pdf

FineReport数据可视化模块FVS

多个中危漏洞

对于FineReport2024.07.23/FineBI2024.07.24及以上版本的工程

• 请参考「服务器插件管理」升级「FineVis数据可视化」插件至V2.9.0.2（2024.07.24发布）及以上版本

对于FineReport2024.07.23/FineBI2024.07.24之前版本的工程

1）如不使用FineVis相关功能

「FineVis数据可视化」插件是FR工程默认安装的插件，请检查是否安装了该插件，并参考「服务器插件管理」禁用该插件即可

2）如需使用FineVis相关功能

• 请参考「产品安全加固手册」升级工程至FineReport2024.07.23/FineBI2024.07.24及以上版本

• 请参考「服务器插件管理」升级「FineVis数据可视化」插件至V2.9.0.2（2024.07.24发布）及以上版本

关于“报表可视化模块FVS安全” 声明20240725.pdf

/view/ReportServer命令执行（SQL注入）漏洞

别称：

report-engine未授权远程代码执行

CNVD-2024-30560

CNVD-2024-33679

1）JAR包时间在 2024-07-23 之前的FineReport11.*、10.*系列

2）JAR包时间在 2024-07-24 之前的、运维平台或Tomcat部署包部署的FineBI全版本

3）JAR包时间在 2024-07-24 之前的FineDataLink全版本

优先通过升级工程修复此漏洞：

请升级至2024-07-23及之后版本，可参考产品安全加固手册/联系技术支持获取

请注意，对于FRBI集成工程，参考文档升级BI即可，BI的JAR包中包含FR相关JAR，无需单独升级

如无法升级工程，请完成以下两步：

1）参考 限制IP访问工程 方案一禁用老引擎接口

请注意，2024-07-22日，该方案的 url.properties 文件已更新，请重新下载文件并参考文档配置

面向本漏洞的规则是：rule3=/view/ReportServer、rule4=/view/ReportServer/

如不希望禁用远程设计和单点登录相关接口，删除相关rule即可

2）删除工程/webapps/webroot/WEB-INF/lib下sqlite-jdbc-*.jar（删除sqlite-jdbc-*.jar后无法使用SQLite数据连接）

请在驱动删除后重启工程以确保生效

对于运维平台部署的FineReport工程，删除驱动方法与传统部署略有不同，请参考文档：运维平台部署的项目如何删除sqlite驱动

关于viewReportServer安全漏洞声明0722.pdf

1）普通用户认证后，通过channel接口进行命令执行

2）普通用户认证后，任意文件下载

3）管理员用户登录后，命令注入

1）请升级至2024-05及之后版本，可参考产品安全加固手册/联系技术支持获取

2）如无法升级工程，请参考文档进行配置：限制IP访问工程

截止 2023-08-12 10:30，尚未通知帆软有 0Day，消息真实性存疑

帆软产品的 channel 接口历史问题均在 2023-07-21 版本修复，若仍担心新增问题可以参考文档预防方案进行配置：限制IP访问工程

关于20230811网传《帆软channel接口0Day》声明.pdf

1）请升级至2023-07-21及之后版本，可直接从帆软官网获取/联系技术支持获取

2）如无法升级工程，请参考文档进行配置：限制IP访问工程

高危漏洞

• 命令注入

• 上传恶意脚本

• 远程代码执行

• 反序列化命令执行
  

中低危漏洞

• 越权

• 三方组件升级

JAR包时间在 2023-07 之前的FineReport10、FineReport11、FineBI6.0、FineBI5.x系列均受影响

1）请升级至2023-07-21及之后版本，可联系帆软技术支持获取

2）请参考文档 产品安全加固手册 对工程进行安全加固

反序列化漏洞

关键词：远程设计功能、channel接口、0v8s9ouoyo.jar

通过代理服务器或防火墙，限制IP的访问：

webroot/decision/remote/design/channel（限制后只允许受信任的 IP 进行报表远程设计，查看不受影响）

远程代码执行漏洞

描修改配置库，利用驱动管理执行恶意代码

仅 FineReport 11.0、FineBI 5.1.19 及以上版本支持该功能

该操作需要具备超级管理员权限，请增加管理员账号密码复杂度

任意代码执行漏洞（或网传的“前端任意代码执行”）

关键词：J2V8引擎

关于帆软《触发V8远程代码执行漏洞》声明.pdf

反序列化漏洞/命令注入漏洞

存在恶意插件「Timo测试插件」

plugin-com.fr.plugin.function.timo

反序列化漏洞

Fastjson反序列化漏洞CNVD-2022-40233

产品本身不受影响，但以下插件

「微信管理」

「钉钉管理」

「飞书管理」

「WeLink管理」

「网页内容解析库」

 JAR包时间在 2022-06-13 之前版本受影响

帆软关于《Fastjson反序列化漏洞》声明.pdf

文件写入getshell漏洞

关键词：SQLite

JAR包时间在 2022-07-04 之前的版本均受影响，此操作需要管理员权限

删除路径%FineBI5.1%\webapps\webroot\WEB-INF\lib 下的 sqlite 开头文件（删除后 SQLite 数据库相关的数据连接，包括 FRDemo 无法使用）

鉴权漏洞

2022-06-29移动端紧急重要公告

以下插件存在高危漏洞：

「HTML5移动端展现」

「微信管理」

「钉钉管理」

「飞书管理」

「Welink管理」

「云之家」

帆软软件紧急安全通知（6.29文）.pdf

远程公式执行漏洞

远程调用FineReport公式，绕过安全管理脚本调用公式限制

FineReport：

JAR包时间在2022-02-28之后版本

JAR包时间在2022-07-15之前版本

FineBI：

JAR包时间在2022-03-01之后版本

JAR包时间在2022-07-15之前版本（非FR10 适配版本）

Apache log4j2 安全漏洞

Log4j2 远程代码执行漏洞 CVE-2021-44228 公布时 FineReport 和 FineBI 使用的还是log4j1.2.17 不受影响

log4j1.2.17 相关漏洞均不受影响，并且 2022-02-17 之后版本已默认移除漏洞相关类文件

产品本身不受影响

10.0 版本使用1.2.17

11.0.2（2022-01-11）升级至2.17.1

11.0.7（2022-08-03）升级至2.18.0

升级以下插件：

Elasticsearch 数据集：V2.0.5及之后版本

Elasticsearch数据集-悦享版：V1.4.4及之后版本

悦享版文件上传下载：V16.2及之后版本