文章总结： 帆软报表存在严重的前台远程代码执行漏洞，攻击者无需权限即可利用export/excel接口构造SQL注入写入Webshell，完全控制服务器。该漏洞影响FineReport11.5.4.1以下和FineBI7.0.5及6.1.8以下版本，官方已发布补丁，建议用户立即升级或实施临时缓解措施，如删除SQLite驱动或内置数据连接，以防止服务器被入侵和数据泄露。 综合评分： 88 文章分类： 漏洞分析,漏洞预警,应急响应,WEB安全,数据安全

已复现】FineReport 帆软报表前台远程代码执行漏洞

长亭应急响应

黑伞安全

2025年12月17日 12:01 北京

帆软报表是一款专业的企业级报表工具，专注于数据可视化与分析。它支持多数据源连接，能快速制作各类复杂报表和动态仪表板。通过拖拽式操作和灵活定制，帮助企业实现高效的数据决策与业务洞察。

2025年12月，长亭安全应急响应中心监测到帆软报表和数据决策系统存在远程代码执行漏洞。经分析，攻击者可利用export/excel接口构造SQL注入语句写入Webshell，进而获取服务器权限。由于该漏洞可组合SessionID泄露漏洞实现前台无条件利用，导致利用难度较低，建议受影响的用户尽快修复。

漏洞描述

Description

01

漏洞成因

该漏洞允许攻击者利用 export/excel 接口构造恶意SQLite语句，将Webshell代码写入服务器文件系统，进而实现前台远程代码执行并完全控制服务器。

漏洞影响

攻击者可在服务器上执行任意系统命令，可能导致服务器被完全控制、数据泄露或业务系统沦陷。

处置优先级：高

漏洞类型：远程代码执行

漏洞危害等级：高

触发方式：网络远程

权限认证要求：无需权限

系统配置要求：默认配置

用户交互要求：无需用户交互

利用成熟度：POC/EXP 未公开

修复复杂度：低，官方未提供修复方案

影响版本

Affects

02

FineReport < 11.5.4.1

FineBI < 7.0.5

FineBI < 6.1.8

解决方案

Solution

03

#

正式解决方案

#

官方已于10月份发布安全补丁，并在12月15日更新了安全公告，建议受影响用户参考安全公告进行漏洞修复：

https://help.fanruan.com/finereport/doc-view-4833.html

**临时缓解方案 如无法升级工程，请使用以下方案进行临时规避： 1. 非运维平台部署的项目：请前往单机工程节点/每个集群工程节点，进入工程/webroot/WEB-INF/lib目录，删除sqlite相关驱动，并重启工程生效 2. 运维平台部署的项目，或无法删除驱动重启的项目：请管理员登录帆软应用，点击「管理系统>数据连接>数据连接管理」，删除自行创建的sqlite类型的数据连接，删除产品内置的sqlite类型数据连接：FRDemo、BI Demo，无需重启工程即可生效 *漏洞复现* Reproduction 04 产品支持 Support 05 云图：默认支持该产品的指纹识别，同时支持该漏洞的PoC原理检测 洞鉴：默认支持该产品的指纹识别，已发布该漏洞的自定义PoC支持检测 雷池：默认支持检测 全悉：支持部分利用检测，完整检测预计 2025.12.16 发布更新包支持 无锋：默认支持该产品的指纹识别，预计2025.12.16支持该漏洞的Poc原理检测 御衡：预计 2025.12.16 支持该漏洞的模拟验证 时间线 Timeline 06 2025年12月16日 长亭安全应急响应中心发布通告** 参考资料： [1].https://help.fanruan.com/finereport/doc-view-4833.html

长亭应急响应服务

全力进行产品升级

及时将风险提示预案发送给客户

检测业务是否受到此次漏洞影响

请联系长亭应急服务团队

7*24小时，守护您的安全

第一时间找到我们：

邮箱：[email protected]

查看原文：《已复现】FineReport 帆软报表前台远程代码执行漏洞》