漏洞描述:
官方披露帆软报表中存在一处SQL注入漏洞,该漏洞位于export/excel路由中未经身份认证的攻击者可通过获取有效的sessionId构造恶意SQL语句实施注入进而向服务器写入WebShell最终实现远程代码执行
漏洞影响范围:
FineReport 11.5.4及以下版本(2025.09.29及之前)
FineBI 7.0.4及以下版本(2025.09.12及之前)
FineBI 6.1.7.3及以下版本(2025.09.29及之前)
FineBI 6.0.23.2及以下版本(2025.09.26及之前)
FineDataLink 5.0.4.2及以下版本(2025.10.16及之前)
FineDataLink 4.2.11.2及以下版本(2025.10.16及之前)
官方修复方案:
帆软于12月15日更新漏洞通告,建议受影响的用户参考官方通告进行处置:https://help.fanruan.com/finereport/doc-view-4833.html
临时缓解措施:
非运维平台部署的项目:请前往单机工程节点/每个集群工程节点,进入工程/webroot/WEB-INF/lib目录,删除sqlite相关驱动,并重启工程生效
运维平台部署的项目,或无法删除驱动重启的项目:请管理员登录帆软应用,点击「管理系统>数据连接>数据连接管理」,删除自行创建的sqlite类型的数据连接,删除产品内置的sqlite类型数据连接:FRDemo、BI Demo,无需重启工程即可生效
参考链接:
https://help.fanruan.com/finereport/doc-view-4833.html