帆软FineReport多个漏洞安全通告

发布时间 2019-06-19

漏洞编号和级别


CVE编号:暂无,危险级别:中危,CVSS分值:官方未评定


影响版本


受影响的版本

FineReport V9.0、V8.0(V10.0不受影响)


漏洞概述


FineReport报表App是一款纯Java编写的、集数据展示(报表)和数据录入(表单)功能于一身的企业级web报表工具,它“专业、简捷、灵活”的特点和无码理念,仅需简单的拖拽操作便可以设计复杂的中国式报表,搭建数据决策分析系统。


帆软FineReport被发现存在多个漏洞。 其中,系统某处在未授权情况下可直接下载系统敏感配置文件,配置文件包括后台账号等(后台账号需要进一步解密),另外后台某处对用户输入限制不严格导致可Getshell,获得目标服务器的权限。
帆软暴露在公网的ip 325个,具体统计如下:
 
 



漏洞验证


暂无POC/EXP。


修复建议


1、 临时缓解措施 
修改超级管理员账号密码登录后台管理系统,地址:ip:端口号/WebReport/ReportSer

ver?op=fs修改并加强口令复杂度;配置URL访问控制策略部署于公网的 FineReport 服务器,可通过ACL禁止外网对/WebReport/ReportServer路径的访问。


2、 官方补丁 
官方已经为该漏洞提供定制版jar包,请尽快联系帆软官方,索要官方补丁程序。厂商

官网: http://www.fanruan.com/support。


参考链接