漏洞说明
FineReport是一款企业级报表设计和数据分析工具,它提供了丰富多样的组件,用于创建和展示数据报表。
FineBI 是一款企业级的商业智能 (BI) 平台,提供了丰富的功能和组件,用于数据分析、报表生成和数据可视化等任务。
FineReport/FineBI channel接口能接受序列化数据并对其进行反序列化。配合帆软内置CB链会导致任意代码执行。
漏洞影响
漏洞检测与利用
本次更新新增CB183和JacksonSignedObject两个链子。
漏洞修复
-
联系帆软系统官方咨询漏洞修复方案。 -
在服务器端禁用以下目录的访问:
/webroot/decision/remote/design/channel
工具获取
https://github.com/savior-only/FR_Channel_Exploit
原文始发于微信公众号(南街老友):帆软反序列化漏洞的两个链子
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论