【漏洞通报】最新帆软工具RCE漏洞POC

Java资料网推荐【漏洞通报】最新帆软工具RCE漏洞POC这篇文章给大家，欢迎收藏Java资料网享受知识的乐趣

漏洞描述：

    帆软 /webroot/decision/view/ReportServer接口存在SSTI模板注入漏洞，攻击者通过构造特殊 uri 请求参数注入到模板中，最终可执行任意代码控制服务器。

空间语法：

fofa：app="帆软-FineReport

攻击效果：

影响版本：

帆软FineReport V10、V11（最新版）FineDataLink 4.1.10.3 及以下版本

漏洞修复：

1、删除 sqlite 驱动:请从工程的 webapps\webroot\WEB-INF\lib 目录中删除sqlite-jdbc-x.x.x.xjar驱动文件，并重启工程以完成更改。

2、调整配置文件:在url.properties文件中，请添加以下规则:rule3=/view/ReportServer、rule4=/view/ReportServer/。

3、安装 web 应用防火墙插件:请安装并配置相应的最新版 Web 应用防火墙插件。

微信关注公众号“光剑安全”后发送“20240726”即可领取POC

文章来源:https://blog.csdn.net/guanjian_ci/article/details/140719681
本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若内容造成侵权/违法违规/事实不符，请联系邮箱：jacktools123@163.com进行投诉反馈，一经查实，立即删除！