帆软报表 漏洞列表
共找到 22 个与 帆软报表 相关的漏洞
📅 加载漏洞趋势中...
-
帆软报表 /WebReport/ReportServe?op=plugin_logdb 代码执行漏洞 无POC
帆软报表 /WebReport/ReportServer?op=plugin_logdb 接口存在 JDBC 导致的代码执行漏洞。该漏洞源于帆软报表系统在处理 LogDB 日志数据库的 JDBC 数据连接时,未对用户输入进行充分验证,攻击者可以通过构造特定的请求(如包含恶意的 SQL 语句或 JDBC 参数)触发远程代码执行(RCE)。具体而言,未经授权的攻击者可利用 SQLite 数据库的特性,通过 /view/ReportServer 接口中的参数(如 test 和 n)注入恶意代码,从而写入 Webshell 或执行任意系统命令。该漏洞主要影响使用 SQLite 作为日志数据库的帆软报表版本,尤其是未及时更新的 FineReport 8.0、9.0、10.* 和 11.* 系列。 -
CNVD-2018-04757: 帆软报表 V8 get_geo_json 任意文件读取漏洞 POC
FineReport报表软件是一款纯Java编写的,集数据展示(报表)和数据录入(表单)功能于一身的企业级web报表工具。 FineReport v8.0版本存在任意文件读取漏洞,攻击者可利用漏洞读取网站任意文件 使用如下解密脚本可解密得到密码 ``` cipher = '___0072002a00670066000a' #密文 PASSWORD_MASK_ARRAY = [19, 78, 10, 15, 100, 213, 43, 23] #掩码 Password = "" cipher = cipher[3:] #截断三位后 for i in range(int(len(cipher) / 4)): c1 = int("0x" + cipher[i * 4:(i + 1) * 4], 16) c2 = c1 ^ PASSWORD_MASK_ARRAY[i % 8] Password = Password + chr(c2) print (Password) ``` body="isSupportForgetPwd" -
fanruan-oa-v9-designsavevg-upload-file: 帆软报表 V9 design_save_svg 任意文件覆盖文件上传 POC
帆软 V9 存在任意文件覆盖,导致攻击者可以任意文件上传 -
致远OA-帆软报表组件 dbcommit 命令执行漏洞 无POC
远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码,这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码,从而控制服务器,进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。 -
帆软报表 dbcommit 命令执行漏洞 无POC
帆软报表V9存在 dbcommit 命令执行漏洞,攻击者可以利用这个漏洞发送精心构造的请求,从而控制服务器,进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。 -
帆软报表远程命令执行漏洞 无POC
远程命令执行漏洞是指攻击者通过构造特定的请求,使得服务器端执行非预期的命令,从而可能导致未授权的数据访问、权限提升、服务中断等严重后果。这种漏洞通常由于应用程序对用户输入的验证不充分或者对外部命令调用缺乏必要的安全控制而产生。 -
帆软报表 fs_remote_design 目录遍历漏洞 无POC
目录遍历漏洞,也称为路径遍历,是一种安全漏洞,攻击者通过修改文件路径参数来访问系统上不允许的文件和目录。这种漏洞通常发生在应用程序没有正确验证文件路径或用户输入的情况下,攻击者可以利用特定的路径遍历字符(如'..'或'/')来绕过正常的访问控制,读取、修改或删除敏感文件,甚至可能获取系统权限。 -
帆软报表v9任意文件写入(绕过JSP不解析的情况,上传dll RCE) 无POC
帆软报表软件(FineReport)是一款纯Java编写的,集数据展示(报表)和数据录入(表单)功能于一身的企业级web报表工具。帆软报表v9版本存在任意文件写入漏洞,攻击者可通过该漏洞获取服务器权限 -
帆软报表v10 /decision/remote/design/channel 存在反序列化漏洞(二次反序列化绕过) 无POC
帆软报表软件(FineReport)是一款纯Java编写的,集数据展示(报表)和数据录入(表单)功能于一身的企业级web报表工具。帆软报表v10存在前台反序化漏洞,新版本存在黑名单限制,通过二次反序列化绕过限制。 -
帆软报表FineVis插件任意文件上传漏洞 无POC
帆软报表FineVis插件存在任意文件上传漏洞。此漏洞是由于对metadata参数缺乏校验导致的。 -
帆软报表 local_install 任意文件上传漏洞 无POC
文件上传漏洞发生在应用程序允许用户上传文件的功能中,如果上传功能未能正确地验证和限制上传文件的类型和内容,攻击者可能利用此漏洞上传恶意文件,如包含可执行代码的脚本文件,从而在服务器上执行任意命令,控制或破坏系统。 -
帆软报表 ReportServer 存在模板注入漏洞 无POC
帆软报表软件(FineReport)是一款纯Java编写的,集数据展示(报表)和数据录入(表单)功能于一身的企业级web报表工具。帆软报表11版本/帆软BI6版本ReportServer 存在模板注入漏洞,攻击者可利用漏洞写入任意文件RCE。 -
帆软报表 ReportServer 存在任意文件读取漏洞 无POC
帆软报表软件(FineReport)是一款纯Java编写的,集数据展示(报表)和数据录入(表单)功能于一身的企业级web报表工具。帆软报表11版本/帆软BI6版本ReportServer 存在任意文件读取漏洞,攻击者可利用漏洞读取网站任意文件。 -
帆软报表反序列化命令执行漏洞 无POC
帆软报表存在反序列化漏洞。 -
帆软报表反序列化命令执行漏洞 无POC
帆软报表存在反序列化漏洞。 -
帆软报表存在弱口令漏洞 无POC
帆软报表和帆软BI /decision/login 接口可以爆破账号密码,如果使用规则偏弱的口令可能导致潜在的安全隐患 -
帆软报表 sc_getconnectioninfo 存在数据库敏感信息泄露 无POC
帆软报表系统2012 ReportServer 存在数据库信息泄露漏洞 -
帆软报表 /channel 存在反序列化绕过漏洞 无POC
帆软报表和帆软BI channel 接口存在反序列化漏洞,2023-07-21之前的 FineReport10.0/11.0、FineBI5.1 系列均受影响 -
帆软报表 /channel 存在反序列化漏洞 无POC
帆软报表和帆软BI channel 接口存在反序列化漏洞,2022-08-12 之前的 FineReport10.0/11.0、FineBI5.1 系列均受影响 -
帆软报表 fr_log & fr_dialog 未授权远程命令执行漏洞 无POC
帆软报表 FineRePort fr_log接口存在未授权远程命令执行漏洞 -
帆软报表 get_geo_json 存在任意文件读取漏洞 无POC
FineReport v8.0版本存在任意文件读取漏洞,攻击者可利用漏洞读取网站任意文件。 -
帆软报表 design_save_svg 存在任意文件覆盖漏洞 无POC
由于在初始化svg文件时,未对传入的参数做限制,导致可以对已存在的文件覆盖写入数据,从而通过将木马写入jsp文件中获取服务器权限。