漏洞描述
帆软 FineReport 报表系统在 export/excel 接口存在文件上传漏洞。攻击者可以通过构造恶意的大数据集导出请求,在 LargeDatasetExcelExportJS 组件中注入恶意 SQL 语句。利用 SQLite 数据库的 VACUUM into() 功能结合路径遍历技巧,攻击者能够将包含 JSP WebShell 的恶意内容写入到 Web 可访问目录中。该漏洞无需身份验证即可利用,攻击者通过精心构造的 XML 载荷,在参数中使用 CONCATENATE 函数拼接 SQL 命令来绕过安全检测,最终实现任意文件写入和远程代码执行。