首頁 > 安全研究 > 安全通報 > 安全通告

帆軟FineReport多個漏洞安全通告

發布時間 2019-06-19

漏洞編號和級別


CVE編號:暫無,危險級別:中危,CVSS分值:官方未評定


影響版本


受影響的版本

FineReport V9.0、V8.0(V10.0不受影響)


漏洞概述


FineReport報表軟件是一款純Java編寫的、集數據展示(報表)和數據錄入(表單)功能于一身的企業級web報表工具,它“專業、簡捷、靈活”的特點和無碼理念,僅需簡單的拖拽操作便可以設計復雜的中國式報表,搭建數據決策分析系統。


帆軟FineReport被發現存在多個漏洞。 其中,系統某處在未授權情況下可直接下載系統敏感配置文件,配置文件包括后臺賬號等(后臺賬號需要進一步解密),另外后臺某處對用戶輸入限制不嚴格導致可Getshell,獲得目標服務器的權限。
帆軟暴露在公網的ip 325個,具體統計如下:
 
 



漏洞驗證


暫無POC/EXP。


修復建議


1、 臨時緩解措施 
修改超級管理員賬號密碼登錄后臺管理系統,地址:ip:端口號/WebReport/ReportSer

ver?op=fs修改并加強口令復雜度;配置URL訪問控制策略部署于公網的 FineReport 服務器,可通過ACL禁止外網對/WebReport/ReportServer路徑的訪問。


2、 官方補丁 
官方已經為該漏洞提供定制版jar包,請盡快聯系帆軟官方,索要官方補丁程序。廠商

官網: http://www.fanruan.com/support。


參考鏈接

上一篇 下一篇