帆软报表 V8 get_geo_json 任意文件读取漏洞

admin

138635
文章

114
评论

2024年8月22日20:32:18评论51 views字数 295阅读0分59秒阅读模式

漏洞描述

FineReport是由帆软自主研发的一款纯Java编写的报表软件产品，集数据展示（报表）和数据录入(表单)功能于一身，能够制作复杂的报表，操作简单易用。针对软件开发商和系统集成商，用于快速构建企业信息系统的中国式Web报表软件。其接口ReportServer存在任意文件读取漏洞，攻击者可通过该漏洞获取系统敏感文件。

漏洞环境

FOFA语法：app="帆软-FineReport"

帆软报表 V8 get_geo_json 任意文件读取漏洞

漏洞复现

构造payload发送请求

帆软报表 V8 get_geo_json 任意文件读取漏洞

漏洞修复建议

建议联系厂商进行处理

检查工具

原文始发于微信公众号（Sec探索者）：【漏洞复现】帆软报表 V8 get_geo_json 任意文件读取漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

本文由 admin 发表于 2024年8月22日20:32:18
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
帆软报表 V8 get_geo_json 任意文件读取漏洞https://cn-sec.com/archives/3086283.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

帆软报表 V8 get_geo_json 任意文件读取漏洞

Oracle 2025年4月补丁日多个安全漏洞

在线论坛 4chan 在遭受重大黑客攻击后被迫关闭

Hunters International转型：放弃加密勒索，专攻数据窃取与敲诈

你用的PDF转换器是真是假？黑客高仿官网

美国CVE漏洞数据库面临资金枯竭危机

关于 Apache Tomcat 远程代码执行漏洞（CVE-2025-24813）的安全预警

信息安全漏洞周报（2025年第15期）

美国国土安全部终止资助，CVE漏洞数据库面临停摆危机

CVSS 10.0！Apache Roller 曝高危漏洞：密码修改后会话仍持续有效

美国资金断供？CVE 计划面临中断危机

发表评论

在线咨询

微信