大工网安告[2024]013

一、 情况分析

帆软软件专注BI（商业智能）领域多年，IDC认证国内BI市场占有率超前，超30000家大中型企业选择，为92000个信息化项目提供BI支持，产品国产化率超90%，助力企业实现数字化转型。

近日，发现帆软 /webroot/decision/view/ReportServer接口存在SSTI模板注入漏洞，攻击者通过构造特殊 uri 请求参数注入到模板中，最终可执行任意代码控制服务器。

威胁类型：命令执行。

技术类型：SQL注入。

利用条件：无。

危害描述：此漏洞允许未经身份验证的远程攻击者执行任意代码，可能导致数据泄露、服务中断或系统被完全控制。

二、 影响版本

帆软FineReport V10、V11（当前官网最新版）

FineDataLink 4.1.10.3 及以下版本

三、 处置建议

1.安装 web 应用防火墙插件：请安装并配置相应的最新版 Web 应用防火墙插件。可以通过以下链接(https://help.fanruan.com/finereport/doc-view-5287html)获取插件，并在“解决方案”部分找到配置方法。

2.调整配置文件：在url.properties文件中，请添加以下规则：rule3=/view/ReportServer、rule4=/view/ReportServer/。

3.删除 sqlite 驱动：请从工程的 webapps\webroot\WEB-INF\lib 目录中删除sqlite-jdbc-x.x.x.xjar驱动文件，并重启工程以完成更改。