漏洞描述
帆软报表 /WebReport/ReportServer?op=plugin_logdb 接口存在 JDBC 导致的代码执行漏洞。该漏洞源于帆软报表系统在处理 LogDB 日志数据库的 JDBC 数据连接时,未对用户输入进行充分验证,攻击者可以通过构造特定的请求(如包含恶意的 SQL 语句或 JDBC 参数)触发远程代码执行(RCE)。具体而言,未经授权的攻击者可利用 SQLite 数据库的特性,通过 /view/ReportServer 接口中的参数(如 test 和 n)注入恶意代码,从而写入 Webshell 或执行任意系统命令。该漏洞主要影响使用 SQLite 作为日志数据库的帆软报表版本,尤其是未及时更新的 FineReport 8.0、9.0、10.* 和 11.* 系列。