文章总结： 帆软报表存在高危SQL注入漏洞，攻击者可通过获取sessionId后在export/excel路由触发模板执行，利用FRDemo数据连接执行SQL写入webshell获取服务器权限。漏洞影响FineReport<=11.5.4等多个版本产品，官方已发布修复建议，临时缓解措施包括删除sqlite驱动或删除相关数据连接。 综合评分： 84 文章分类： 漏洞分析,WEB安全,漏洞预警,漏洞POC

【复现】帆软报表export/excel SQL注入漏洞风险通告

赛博昆仑CERT

2025年12月16日 18:14 广东

-赛博昆仑漏洞安全风险通告-

帆软报表export/excel SQL注入漏洞风险通告

漏洞描述

    FineReport 是一款用于报表制作，分析和展示的工具，用户通过使用 FineReport 可以轻松的构建出灵活的数据分析和报表系统，大大缩短项目周期，减少实施成本，最终解决企业信息孤岛的问题，使数据真正产生其应用价值。

赛博昆仑CERT监测到帆软报表存在export/excel SQL注入的漏洞情报，未经过身份认证的攻击者可以通过先获取到sessionId ，然后在export/excel路由中触发帆软报表的模板执行，当服务器存在FRDemo数据连接时，可以通过执行SQL语句写入webshell，从而获取服务器的权限。

| | | | | | — | — | — | — | | 漏洞名称 | 帆软报表export/excel SQL注入漏洞 | | | | 漏洞公开编号 | 暂无 | | | | 昆仑漏洞库编号 | CYKL-2025-0128497 | | | | 漏洞类型 | 模板注入 | 公开时间 | 2025-12-15 | | 漏洞等级 | 高危 | 评分 | 暂无 | | 漏洞所需权限 | 无权限要求 | 漏洞利用难度 | 低 | | PoC状态 | 未知 | EXP状态 | 未知 | | 漏洞细节 | 未知 | 在野利用 | 未知 |

利用条件

服务器存在内置的FRDemo数据连接或

存在其他sqlite类型的数据连接并知道连接名称

影响范围

FineReport<=11.5.4（2025.09.29及之前）

FineBI<=7.0.4（2025.09.12及之前）

FineBI<=6.1.7.3（2025.09.29及之前）

FineBI<=6.0.23.2（2025.09.26及之前）

FineDataLink<=5.0.4.2（2025.10.16及之前）

FineDataLink<=4.2.11.2（2025.10.16及之前）

漏洞复现

缓解措施

如无法升级工程，请使用以下方案进行临时规避：

1. 非运维平台部署的项目：请前往单机工程节点/每个集群工程节点，进入工程/webroot/WEB-INF/lib目录，删除sqlite相关驱动，并重启工程生效

2. 运维平台部署的项目，或无法删除驱动重启的项目：请管理员登录帆软应用，点击「管理系统>数据连接>数据连接管理」，删除自行创建的sqlite类型的数据连接，删除产品内置的sqlite类型数据连接：FRDemo、BI Demo，无需重启工程即可生效

防护措施

• 修复建议

目前，官方已发布修复建议，建议受影响的用户参考官方通告进行处置：https://help.fanruan.com/finereport/doc-view-4833.html。

• 技术业务咨询

赛博昆仑支持对用户提供轻量级的检测规则或热补方式，可提供定制化服务适配多种产品及规则，帮助用户进行漏洞检测和修复。

赛博昆仑CERT已开启年订阅服务，付费客户(可申请试用)将获取更多技术详情，并支持适配客户的需求。

联系邮箱：[email protected]

公众号：赛博昆仑CERT

参考链接

    https://help.fanruan.com/finereport/doc-view-4833.html

时间线

       2025年12月15日，官方更新漏洞通告

       2025年12月16日，赛博昆仑CERT发布漏洞风险通告

技术业务咨询

邮箱：[email protected]

查看原文：《【复现】帆软报表export/excel SQL注入漏洞风险通告》