1. 概述
帆软 FineReport 8.* &9.* 系列及更早版本目前已经停止维护,安全系数低,请联系帆软大版本升级。
为了进一步提升安全性,您也可以按照 产品安全加固手册 对工程进行安全加固。
Tomcat 等容器类漏洞(如:CVE-2020-9484、CNVD-2020-10487、CVE-2020-1938等)请自行升级容器,或使用帆软提供的 部署包 部署。
2. 漏洞声明
| 漏洞描述 | 影响版本 | 临时解决方案 | 声明文件 |
|---|---|---|---|
反序列化漏洞 关键词:远程设计功能、channel接口、0v8s9ouoyo.jar | 2022-08-12之前的 FineReport10.0/11.0、FineBI5.1 系列均受影响 | 通过代理服务器或防火墙,限制下面接口的访问: webroot/decision/remote/design/channel(限制后只允许受信任的 IP 进行报表远程设计,查看不受影响) | / |
远程代码执行漏洞 描修改配置库,利用驱动管理执行恶意代码 | 仅 FineReport 11.0、FineBI 5.1.19 及以上版本支持该功能 该操作需要具备超级管理员权限,请增加管理员账号密码复杂度 | 将驱动管理配置恢复为默认关闭状态,修改管理员账号密码 | / |
任意代码执行漏洞(或网传的“前端任意代码执行”) 关键词:J2V8引擎 | 2022-08-12之前的版本均受影响 | 解决方案见:触发V8远程代码执行漏洞 | |
反序列化漏洞/命令注入漏洞 存在恶意插件「Timo测试插件」 plugin-com.fr.plugin.function.timo | 该操作需要已被上传恶意插件,请检查插件列表中是否有不明插件 | 检查插件列表 | / |
反序列化漏洞 Fastjson反序列化漏洞CNVD-2022-40233 | 产品本身不受影响,但以下插件 「微信管理」 「钉钉管理」 「飞书管理」 「WeLink管理」 「网页内容解析库」 2022-06-13 之前版本受影响 | 升级插件 | |
文件写入getshell漏洞 关键词:SQLite | 2022-07-04 之前的版本均受影响,此操作需要管理员权限 | 删除路径%FineBI5.1%\webapps\webroot\WEB-INF\lib 下的 sqlite 开头文件(删除后 SQLite 数据库相关的数据连接,包括 FRDemo 无法使用) | / |
鉴权漏洞 2022-06-29移动端紧急重要公告 | 以下插件存在高危漏洞: 「HTML5移动端展现」 「微信管理」 「钉钉管理」 「飞书管理」 「Welink管理」 「云之家」 | 升级插件 | |
远程公式执行漏洞 远程调用FineReport公式,绕过安全管理脚本调用公式限制 | FineReport: 2022-02-28之后版本 2022-07-15之前版本 FineBI: 2022-03-01之后版本 2022-07-15之前版本(非FR10 适配版本) | 无临时方案,影响范围较小一般不存在升级问题。 | / |
Apache log4j2 安全漏洞 Log4j2 远程代码执行漏洞 CVE-2021-44228 公布时 FineReport 和 FineBI 使用的还是log4j1.2.17 不受影响 log4j1.2.17 相关漏洞均不受影响,并且 2022-02-17 之后版本已默认移除漏洞相关类文件 | 产品本身不受影响 10.0 版本使用1.2.17 11.0.2(2022-01-11)升级至2.17.1 11.0.7(2022-08-03)升级至2.18.0 | 升级以下插件: Elasticsearch 数据集:V2.0.5及之后版本 Elasticsearch数据集-悦享版:V1.4.4及之后版本 悦享版文件上传下载:V16.2及之后版本 | / |