帆软报表软件(FineReport)V10 及 V11 版本存在反序列化和远程代码执行漏洞。
反序列化漏洞帆软 V10 及 V11 版本报表软件存在反序列化漏洞,攻击者可利用该漏洞使用POST 方法向帆软报表软件路径/webroot/decision/remote/design/channel 发送恶意数据包,将二进制数据流或文件加载到服务器内存中触发反序列化操作,从而实现任意代码执行,获取服务器控制权限。
远程代码执行漏洞帆软 V10 及 V11 版本报表软件采用 Google 开发的 v8 引擎对数据进行 js 解析和渲染,该 js 代码为可控状态,攻击者可通过向路径/webroot/ReportServer/发送含有特定字符串的参数控制 v8 引擎加载恶意 js 代码,从而实现任意代码执行,获取服务器控制权限。
影响范围V10版本、V11版本
漏洞修复联系帆软系统官方咨询漏洞修复方案。在服务器端禁用以下目录的访问:① /webroot/decision/remote/design/channel② /webroot/ReportServer/