FineReport 帆软报表前台 SQL 注入可导致远程代码执行漏洞(XVE-2025-46624)预警
1、基本情况
帆软报表是一款专业的企业级报表工具,专注于数据可视化与分析。它支持多数据源连接,能快速制作各类复杂报表和动态仪表板。通过拖拽式操作和灵活定制,帮助企业实现高效的数据决策与业务洞察。
近日,监测发现帆软官方发布安全公告修复了一处 SQL 注入漏洞。该漏洞位于 export/excel 路由中,未经身份认证的攻击者可通过获取有效的 sessionId 构造恶意 SQL 语句实施注入,进而向服务器写入 WebShell,最终实现远程代码执行。
鉴于该漏洞影响范围较大,建议广大用户尽快做好自查及防护。
2、影响范围
受影响版本
⚫ FineReport 11.5.4 及以下版本(2025.09.29 及之前)
⚫ FineBI 7.0.4 及以下版本(2025.09.12 及之前)
⚫ FineBI 6.1.7.3 及以下版本(2025.09.29 及之前)
⚫ FineBI 6.0.23.2 及以下版本(2025.09.26 及之前)
⚫ FineDataLink 5.0.4.2 及以下版本(2025.10.16 及之前)
⚫ FineDataLink 4.2.11.2 及以下版本(2025.10.16 及之前)
3、处置建议
官方已发布安全补丁,受影响用户可参考官方通告进行处置:https://help.fanruan.com/finereport/doc-view-4833.html
4、参考链接
1) https://help.fanruan.com/finereport/doc-view-4833.html