【已复现】FineReport 帆软报表前台远程代码执行漏洞

长亭安全应急响应中心 2025-12-16 17:55:00

2025-12-16 17:55 北京

检测业务是否受到此漏洞影响，请联系长亭应急服务团队！

帆软报表是一款专业的企业级报表工具，专注于数据可视化与分析。它支持多数据源连接，能快速制作各类复杂报表和动态仪表板。通过拖拽式操作和灵活定制，帮助企业实现高效的数据决策与业务洞察。

2025年12月，长亭安全应急响应中心监测到帆软报表和数据决策系统存在远程代码执行漏洞。经分析，攻击者可利用export/excel接口构造SQL注入语句写入Webshell，进而获取服务器权限。由于该漏洞可组合SessionID泄露漏洞实现前台无条件利用，导致利用难度较低，建议受影响的用户尽快修复。

漏洞描述

Description

漏洞成因

该漏洞允许攻击者利用 export/excel 接口构造恶意SQLite语句，将Webshell代码写入服务器文件系统，进而实现前台远程代码执行并完全控制服务器。

漏洞影响

攻击者可在服务器上执行任意系统命令，可能导致服务器被完全控制、数据泄露或业务系统沦陷。

处置优先级：高

漏洞类型：远程代码执行

漏洞危害等级：高

触发方式：网络远程

权限认证要求：无需权限

系统配置要求：默认配置

用户交互要求：无需用户交互

利用成熟度：POC/EXP 未公开

修复复杂度：低，官方未提供修复方案

影响版本

Affects

FineReport < 11.5.4.1
FineBI < 7.0.5
FineBI < 6.1.8

解决方案

Solution

正式解决方案

官方已于10月份发布安全补丁，并在12月15日更新了安全公告，建议受影响用户参考安全公告进行漏洞修复：

https://help.fanruan.com/finereport/doc-view-4833.html

临时缓解方案
如无法升级工程，请使用以下方案进行临时规避：
1. 非运维平台部署的项目：请前往单机工程节点/每个集群工程节点，进入工程/webroot/WEB-INF/lib目录，删除sqlite相关驱动，并重启工程生效
2. 运维平台部署的项目，或无法删除驱动重启的项目：请管理员登录帆软应用，点击「管理系统>数据连接>数据连接管理」，删除自行创建的sqlite类型的数据连接，删除产品内置的sqlite类型数据连接：FRDemo、BI Demo，无需重启工程即可生效
漏洞复现
Reproduction
04
产品支持
Support
05
云图：默认支持该产品的指纹识别，同时支持该漏洞的PoC原理检测
洞鉴：默认支持该产品的指纹识别，已发布该漏洞的自定义PoC支持检测
雷池：默认支持检测
全悉：支持部分利用检测，完整检测预计 2025.12.16 发布更新包支持
无锋：默认支持该产品的指纹识别，预计2025.12.16支持该漏洞的Poc原理检测
御衡：预计 2025.12.16 支持该漏洞的模拟验证
时间线
Timeline
06
2025年12月16日长亭安全应急响应中心发布通告
参考资料：
[1].https://help.fanruan.com/finereport/doc-view-4833.html

长亭应急响应服务

全力进行产品升级

及时将风险提示预案发送给客户

检测业务是否受到此次漏洞影响

请联系长亭应急服务团队

7*24小时，守护您的安全

第一时间找到我们：

邮箱：[email protected]

阅读原文

跳转微信打开

原始链接： https://mp.weixin.qq.com/s?__biz=MzIwMDk1MjMyMg==&mid=2247493026&idx=1&sn=335ea08dbc624b131e892b228237a17a

侵权请联系站方： [email protected]

【已复现】FineReport 帆软报表前台远程代码执行漏洞

漏洞影响

正式解决方案

目录

最新

相关推荐