2025-12-22 04:14:35 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 帆软FineReport存在严重的前台远程代码执行漏洞(XVE-2025-46624)，攻击者可通过export/excel接口构造SQL语句并写入Webshell，无需用户权限即可完全控制服务器。该漏洞影响FineReport、FineBi和FineDataLink多个产品版本。官方已发布修复补丁，同时提供了删除sqlite驱动或数据连接等临时缓解措施。微步漏洞情报已收录此漏洞并提供检测支持，建议受影响用户尽快修复。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,解决方案,WEB安全,应急响应

cover_image

速修！帆软 FineReport 前台远程代码执行漏洞

微步情报局

微步在线研究响应中心

2025年12月16日 14:01 四川

漏洞概况

帆软 FineReport 是一款专业的企业级 Web 报表和数据分析软件，它允许用户通过拖拽式操作快速设计复杂报表，并支持多种数据源的连接与可视化展示。

微步情报局通过“X漏洞奖励计划”获取到到帆软 FineReport 远程代码执行漏洞情报（https://x.threatbook.com/v5/vul/XVE-2025-46624）。攻击者可通过export/excel接口构造SQL语句，通过导出文件写入Webshell，进而获取服务器权限，该漏洞可结合前台获取SessionID漏洞造成前台远程代码执行。

此漏洞无须用户权限，攻击者成功利用此漏洞可完全控制服务器，执行任意代码。建议受影响用户尽快修复。

漏洞处置优先级(VPT)

综合处置优先级：高

| | | | | — | — | — | | 基本信息 | 微步编号 | XVE-2025-46624 | | 漏洞类型 | 远程代码执行 | | 利用条件评估 | 利用漏洞的网络条件 | 远程 | | 是否需要绕过安全机制 | 不需要 | | 对被攻击系统的要求 | 无 | | 利用漏洞的权限要求 | 无 | | 是否需要受害者配合 | 否 | | 利用情报 | POC是否公开 | 否 | | 已知利用行为 | 否 |

漏洞影响范围

漏洞复现

通过python脚本进行复现

修复方案

官方修复方案：

帆软于12月15日更新漏洞通告，建议受影响的用户参考官方通告进行处置：https://help.fanruan.com/finereport/doc-view-4833.html

临时缓解措施：

非运维平台部署的项目：请前往单机工程节点/每个集群工程节点，进入工程/webroot/WEB-INF/lib目录，删除sqlite相关驱动，并重启工程生效
运维平台部署的项目，或无法删除驱动重启的项目：请管理员登录帆软应用，点击「管理系统>数据连接>数据连接管理」，删除自行创建的sqlite类型的数据连接，删除产品内置的sqlite类型数据连接：FRDemo、BI Demo，无需重启工程即可生效
使用防护类设备进行防护，拦截请求中出现的恶意SQL语句（完整漏洞利用路径与利用特征可通过微步漏洞情报查询）

微步产品支撑

微步漏洞情报于2025年12月15日收录该漏洞。

微步下一代威胁情报平台NGTIP及X情报社区已于漏洞公开时向漏洞订阅用户推送该漏洞情报，并将持续推送后续更新；对于已经录入资产的用户，支持实时自动化排查受影响资产。

微步威胁感知平台TDP 已支持检测，检测ID：S3100171697，模型/规则高于20251216000000可检出。