漏洞描述

帆软 /webroot/decision/view/ReportServer 接口存在 SSTI 模板注入漏洞，攻击者通过构造特殊 uri 请求参数注入到模板中，最终可执行任意代码控制服务器。

影响范围

该漏洞影响 FineReport 10.0、FineReport 11.0 2024 年 7 月 23 之前版本

漏洞风险

高风险

安全建议

临时解决方案：

1、安装 web 应用防火墙插件：请安装并配置相应的最新版 Web 应用防火墙插件。您可以通过以下链接 (https://help.fanruan.com/finereport/doc-view-5287html) 获取插件，并在“解决方案”部分找到配置方法。

2、调整配置文件：在 url.properties 文件中，请添加以下规则：rule3=/view/ReportServerrule4=/view/ReportServer/。

3、删除 sqlite 驱动：请从工程的webapps\webroot\WEB-INF\lib 目录中删除sqlite-jdbc-x.x.x.xjar 驱动文件，并重启工程以完成更改。当前提供的解决方案仅为临时补丁。为了确保您的系统安全和功能的稳定性，建议您及时关注厂商产品更新信息或联系厂商技术支持。