首页 > 焦点要闻 > 正文

关于帆软FineReport export excel SQL注入漏洞(QVD-2025-48729)的安全公告

来源:时间:2025-12-19点击数:

大工网安告[2025048]

一、 情况分析

帆软报表(FineReport) 是由帆软软件有限公司推出的企业级 Web 报表与数据分析平台, 支持拖拽式报表设计、 多数据源接入、 可视化大屏及二次开发, 广泛应用于金融、 电信、政府等行业的经营分析、 监管报送与决策支持场景。

近日,监测到官方修复帆软 FineReport export/excel SQL 注入漏洞(QVD-2025-48729), 该漏洞源于对 export/excel 接口传入的参数没有严格校验, 攻击者可构造恶意的 SQL 语句上传 Webshell 实现远程代码执行, 进而获取服务器权限。

威胁类型:代码执行。

技术类型:SQL 注入。

危害描述:攻击者可构造恶意的 SQL 语句上传 Webshell 实现远程代码执行, 进而获取服务器权限。

二、 影响版本

FineReport < 11.5.4.1

FineBi 7.0.* < 7.0.5

FineBi 6.1.* < 6.1.8

FineBi 6.0.* < 6.0.24

FineDataLink 5.0.* < 5.0.4.3

FineDataLink 4.0.* < 4.2.11.3

三、 处置建议

修复解决方案(含漏洞补丁) :

官方已发布安全补丁, 请及时更新至最新版本:

FineReport >= 11.5.4.1

FineBi 7.0.* >= 7.0.5

FineBi 6.1.* >= 6.1.8

FineBi 6.0.* >= 6.0.24

FineDataLink 5.0.* >= 5.0.4.3

FineDataLink 4.0.* >= 4.2.11.3

下载地址:

https://help.fanruan.com/finereport/doc-view-4833.html


上一条:关于MongoDB Zlib 压缩协议堆内存信息泄露漏洞(CVE-2025-14847)的安全公告 下一条:全国人民代表大会常务委员会关于修改《中华人民共和国网络安全法》的决定

地址:大连市甘井子区凌工路2号,大连理工大学 邮编:116024

电话:0411-84708645 copyright2013 大连理工大学网络与信息化中心