文章总结： 帆软报表存在高危SQL注入漏洞，允许未经认证攻击者通过export/excel路由注入恶意SQL，写入WebShell实现远程代码执行。影响FineReport11.5.4及以下、FineBI7.0.4及以下等多个版本。官方已发布修复方案，建议立即更新。临时缓解措施包括删除sqlite驱动或数据连接。 综合评分： 90 文章分类： 漏洞预警,漏洞分析,WEB安全,应用安全

【高危漏洞预警】帆软报表前台SQL远程代码执行漏洞

cexlife

飓风网络安全

2025年12月16日 22:44 北京

漏洞描述:

官方披露帆软报表中存在一处SQL注入漏洞,该漏洞位于export/excel路由中未经身份认证的攻击者可通过获取有效的sessionId构造恶意SQL语句实施注入进而向服务器写入WebShell最终实现远程代码执行

漏洞影响范围:

FineReport 11.5.4及以下版本（2025.09.29及之前）

FineBI 7.0.4及以下版本（2025.09.12及之前）

FineBI 6.1.7.3及以下版本（2025.09.29及之前）

FineBI 6.0.23.2及以下版本（2025.09.26及之前）

FineDataLink 5.0.4.2及以下版本（2025.10.16及之前）

FineDataLink 4.2.11.2及以下版本（2025.10.16及之前）

官方修复方案:

帆软于12月15日更新漏洞通告，建议受影响的用户参考官方通告进行处置：https://help.fanruan.com/finereport/doc-view-4833.html

临时缓解措施:

非运维平台部署的项目:请前往单机工程节点/每个集群工程节点，进入工程/webroot/WEB-INF/lib目录,删除sqlite相关驱动,并重启工程生效

运维平台部署的项目,或无法删除驱动重启的项目:请管理员登录帆软应用,点击「管理系统>数据连接>数据连接管理」,删除自行创建的sqlite类型的数据连接，删除产品内置的sqlite类型数据连接：FRDemo、BI Demo，无需重启工程即可生效

参考链接:

https://help.fanruan.com/finereport/doc-view-4833.html

查看原文：《【高危漏洞预警】帆软报表前台SQL远程代码执行漏洞》