一、漏洞详情
帆软报表(FineReport)是由帆软软件有限公司推出的企业级Web报表与数据分析平台。
近日,监测到官方修复帆软FineReport export/excel SQL注入漏洞,该漏洞源于对export/excel接口传入的参数没有严格校验,攻击者可构造恶意的SQL语句上传Webshell实现远程代码执行,进而获取服务器权限。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
FineReport < 11.5.4.1
FineBi 7.0.* < 7.0.5
FineBi 6.1.* < 6.1.8
FineBi 6.0.* < 6.0.24
FineDataLink 5.0.* < 5.0.4.3
FineDataLink 4.0.* < 4.2.11.3
三、修复建议
官方已发布安全补丁,请及时更新至最新版本:
FineReport >= 11.5.4.1
FineBi 7.0.* >= 7.0.5
FineBi 6.1.* >= 6.1.8
FineBi 6.0.* >= 6.0.24
FineDataLink 5.0.* >= 5.0.4.3
FineDataLink 4.0.* >= 4.2.11.3
