漏洞概况
帆软 FineReport 是一款专业的企业级 Web 报表和数据分析软件,它允许用户通过拖拽式操作快速设计复杂报表,并支持多种数据源的连接与可视化展示。
微步情报局通过“X漏洞奖励计划”获取到到帆软 FineReport 远程代码执行漏洞情报(https://x.threatbook.com/v5/vul/XVE-2025-46624)。攻击者可通过export/excel接口构造SQL语句,通过导出文件写入Webshell,进而获取服务器权限,该漏洞可结合前台获取SessionID漏洞造成前台远程代码执行。
此漏洞无须用户权限,攻击者成功利用此漏洞可完全控制服务器,执行任意代码。建议受影响用户尽快修复。漏洞处置优先级(VPT)
综合处置优先级:高
| 基本信息 | 微步编号 | XVE-2025-46624 |
| 漏洞类型 | 远程代码执行 | |
| 利用条件评估 | 利用漏洞的网络条件 | 远程 |
| 是否需要绕过安全机制 | 不需要 | |
| 对被攻击系统的要求 | 无 | |
| 利用漏洞的权限要求 | 无 | |
| 是否需要受害者配合 | 否 | |
| 利用情报 | POC是否公开 | 否 |
| 已知利用行为 | 否 |
漏洞影响范围
| 产品名称 | 帆软软件有限公司 | FineReport报表软件 帆软软件有限公司 | FineBi商业智能软件 帆软软件有限公司 | FineDataLink |
| 受影响版本 | FineReport: version < 11.5.4.1 FineBi: version < 7.0.5, version < 6.1.8 FineDataLink: version < 5.0.4.3, version < 4.2.11.3 |
| 有无修复补丁 | 有 |
漏洞复现
通过python脚本进行复现
修复方案
官方修复方案:
- 帆软于12月15日更新漏洞通告,建议受影响的用户参考官方通告进行处置:https://help.fanruan.com/finereport/doc-view-4833.html
临时缓解措施:
- 非运维平台部署的项目:请前往单机工程节点/每个集群工程节点,进入工程/webroot/WEB-INF/lib目录,删除sqlite相关驱动,并重启工程生效
- 运维平台部署的项目,或无法删除驱动重启的项目:请管理员登录帆软应用,点击「管理系统>数据连接>数据连接管理」,删除自行创建的sqlite类型的数据连接,删除产品内置的sqlite类型数据连接:FRDemo、BI Demo,无需重启工程即可生效
- 使用防护类设备进行防护,拦截请求中出现的恶意SQL语句(完整漏洞利用路径与利用特征可通过微步漏洞情报查询)
原创文章,作者:lishengli,如若转载,请注明出处:https://www.lishengli.com/lee/5340.html
