积木报表 JimuReport v1.6.2-GA2 版本发布 — 高危 SQL 漏洞安全加固版本


多元共进|2023 Google 开发者大会精彩演讲回顾

项目介绍

一款免费的数据可视化报表,含报表和大屏设计,像搭建积木一样在线设计报表!功能涵盖,数据报表、打印设计、图表报表、大屏设计等!

  • Web 版报表设计器,类似于 excel 操作风格,通过拖拽完成报表设计。
  • 秉承 “简单、易用、专业” 的产品理念,极大的降低报表开发难度、缩短开发周期、节省成本、解决各类报表难题。
  • 领先的企业级 Web 报表软件,采用纯 Web 在线技术,专注于解决企业报表快速制作难题。

当前版本:v1.6.2-GA2 | 2023-09-12

#升级内容

重点解决 SQL 漏洞被攻击等安全问题!本次版本进行了非常大重构,重构了权限机制并彻底重写了 SQL 执行逻辑,解决了 SQL 漏洞风险;并处理了上个版本已知严重 Bug;

::: 重要的事情只说一遍,必须升级,不然你会被攻击 :::

#新版规则变化

  • 1、多租户的配置方式变更为:saasMode
  • 2、新增低代码开发模式 lowCodeMode:prod,完全禁止在线报表设计能力,彻底避免被攻击
  • 3、默认报表预览地址必须带 token,只能通过报表分享连接给他们访问报表

集成依赖

<dependency>
<groupId>org.jeecgframework.jimureport</groupId>
<artifactId>jimureport-spring-boot-starter</artifactId>
<version>1.6.2-GA2</version>
</dependency>

最新依赖还未上传 maven 官仓,下载失败请先配置 JEECG 的 Maven 私服。

#升级日志

#升级权限内容:通过以下几个维度保障报表安全

1、增加低代码开发模式配置 jeecg.jmreport.firewall.lowCodeMode: prod
发布模式下会关闭所有报表设计相关接口,普通用户只能访问报表不能做任何报表修改,彻底解决被攻击风险
为了便于线上报表临时维护,拥有角色 "admin"、"lowdeveloper" 的用户,可以拥有设计权限

2、敏感接口,增加角色权限控制
容易被攻击的敏感接口默认加了角色权限控制,拥有角色 "admin","lowdeveloper","dbadeveloper" 的用户,可以访问这些接口
敏感接口如下:
a、数据预览接口
b、数据源连接测试是否准确接口

3、增加数据隔离配置 jmreport.saasMode:created
线上发布请按照创建人或者租户实现数据隔离,保证他人数据安全
created:按照创建人隔离、tenant:按照租户隔离

4、增加数据源安全配置 jeecg.jmreport.firewall.dataSourceSafe: true
开启数据源安全后,不允许使用平台数据源、SQL解析加签并且不允许查询数据库

5、重写了sql参数拼接的写法,全部换成占位符方式,防止被攻入的可能
6、进一步加强了sql注入检查算法,通过深度解析SQL,检查是否存在攻击函数等

详细配置参数如下:

jeecg :
jmreport:
#多租户模式,默认值为空(created:按照创建人隔离、tenant:按照租户隔离) (v1.6.2+ 新增)
saasMode: created
# 平台上线安全配置(v1.6.2+ 新增)
firewall:
# 数据源安全 (开启后,不允许使用平台数据源、SQL解析加签并不允许查询数据库)
dataSourceSafe: true
# 低代码开发模式(dev:开发模式,prod:发布模式—关闭在线报表设计功能,分配角色admin、lowdeveloper可放开限制)
lowCodeMode: prod

特殊场景

如果某个人可以在测试环境下设计报表,但是不能在发布环境下设计报表,只分配角色 dbadeveloper 即可,当然测试环境下需要把 lowCodeMode 改成 dev。

#升级修复 ISSUES

  • 当单元格设置格式为数值是 0 值不显示#1936
  • 打印出现空白页#1924
  • 使用统计函数 = DBSUM,导致预览页面展示空白#1806
  • 单元格为数值类型,若为值 0 或者为空,控制台报错#1940
  • 在设计报表使用数据图表设置为 SQL 数据集无法运行更新并保存#1629
  • 横向分组使用右侧输入值无法预览#1864
  • 在 W 列之后添加 compute 计算函数导致整个报表都无法显示#1866
  • 自定义函数参数中有单元格取值和自定义参数时,单元格参数获取为空#1895
  • 导入报表 sql,界面没有显示,控制台提示 json 解析错误#1482
  • 参数的宽度怎么调整#1631
  • 报表钻取问题,跳转参数设置问题,条件不生效问题#1604
  • SQL 解析空表时报 500#1658
  • api 数据集,重新解析时最后一列 参数配置 的数据会被清除掉#1485
  • 关于数据集格式化后导出保留两位小数点,不足补零的问题#1834
  • springboot 2.3.5-RELAESE 预览报表界面接口 jmreport/getQueryInfo 返回为空导致一直加载#1660
  • excel 交叉报表导出报错#1696
  • Excel 导出当数值个位数时 (0-9) 会为文本格式#1575
  • 多数据集与分栏功能共同使用时报 NTP#1587
  • Excel 导出后数字为 0 的表格显示类型不正确#1452
  • 报表数据超过 1000 多条时,导出失败#1749
  • 关于报表页面展示与导出 excel 样式不一致问题的补充#1646
  • 合并单元格并设置单元格格式为条形码或二维码时,在某些样式下无法导出 pdf#1649
  • 关于数据解析的问题#1521
  • 日期时间类型数据,导出为 pdf,格式不一致#1942
  • 自带的分页查询接口返回 pageNo 不对#1578
  • api 解析报表参数传时间默认值问题#1600
  • API 自定义查询条件,API 被调用多次#1325
  • 报表钻取后 返回上一页发现 日期查询条件的日期变成上一天了#1886
  • 升级版本后手写分页失效#1453
  • 页码显示有误#1893
  • 固定表头打印#1941
  • 版本 1.6.0 图表显示异常,数据已经提取,但部分内容未显示完全,呈现空白#1921
  • 循环块中插入二维码打印异常分页#1655
  • 1.5.8 升级到 1.6.1 后,预览显示不全,打印预览正常#1931
  • 表单与预览不一致#1944
  • 模板设置无边框,导出 Excel 还是有边框#1512
  • 二维码生成的容错级别#1957
  • jeecgboot3.5.3 存在未授权 sql 注入(布尔盲注绕过)#5311
  • 数值为 0 的单元格打印时变成空值#1972
  • 字典 code sql 包含系统变量时,报表该列数据无法正常翻译为显示值#1984

#代码下载

  • https://github.com/jeecgboot/JimuReport
  • https://gitee.com/jeecg/JimuReport

#技术文档

  • 体验官网: http://jimureport.com
  • 快速集成文档 :https://help.jeecg.com/jimureport/quick.html
  • 技术文档: https://help.jeecg.com/jimureport

为什么选择 JimuReport?

永久免费,支持各种复杂报表,并且傻瓜式在线设计,非常的智能,低代码时代,这个是你的首选!

  • 采用 SpringBoot 的脚手架项目,都可以快速集成
  • Web 版设计器,类似于 excel 操作风格,通过拖拽完成报表设计
  • 通过 SQL、API 等方式,将数据源与模板绑定。同时支持表达式,自动计算合计等功能,使计算工作量降低
  • 开发效率很高,傻瓜式在线报表设计,一分钟设计一个报表,又简单又强大
  • 支持 ECharts,目前支持 28 种图表,在线拖拽设计,支持 SQL 和 API 两种数据源
  • 支持分组、交叉,合计、表达式等复杂报表
  • 支持打印设计(支持套打、背景打印等)可设置打印边距、方向、页眉页脚等参数 一键快速打印 同时可实现套打,不动产证等精准、无缝打印
  • 大屏设计器支持几十种图表样式,可自由拼接、组合,设计炫酷大屏
  • 可设计各种类型的单据、大屏,如出入库单、销售单、财务报表、合同、监控大屏、旅游数据大屏等

报表设计效果

  • 报表设计器(专业一流 数据可视化,解决各类报表难题) 
  • 报表设计器(完全在线设计,简单易用)

  • 打印设计(支持套打、背景打印)

 

  • 数据报表(支持分组、交叉,合计等复杂报表)

 

  • 图形报表(目前支持 28 种图表)  
  • 数据报表斑马线

大屏设计效果

仪表盘设计器

 


相關推薦

2023-10-17

; 集成依赖 <dependency> <groupId>org.jeecgframework.jimureport</groupId> <artifactId>jimureport-spring-boot-starter</artifactId> <version>1.6.4</version> </dependency> #升级日志 #issues 【重要新功能】报表配置导入导

2023-05-12

)` 集成依赖 <dependency> <groupId>org.jeecgframework.jimureport</groupId> <artifactId>jimureport-spring-boot-starter</artifactId> <version>1.5.8</version> </dependency> mogodb/redis 支持包(按需添加) <dependency> <

2023-07-19

常 集成依赖 <dependency> <groupId>org.jeecgframework.jimureport</groupId> <artifactId>jimureport-spring-boot-starter</artifactId> <version>1.5.9</version> </dependency> mogodb/redis 支持包(按需添加) <dependency> <

2024-09-27

项目介绍 积木报表 JimuReport,是一款免费的数据可视化报表工具,含报表、仪表盘和大屏设计,像搭建积木一样完全在线设计报表!功能涵盖,数据报表、打印设计、图表报表、门户设计、大屏设计等! 可视化报表,DataV

2024-11-04

项目介绍 积木报表 JimuReport,是一款免费的数据可视化报表,含报表、仪表盘和大屏设计,像搭建积木一样完全在线设计!功能涵盖:数据报表、打印设计、图表报表、门户设计、大屏设计等! Web 版报表设计器,类 Excel

2023-02-25

1480 个经过审计的代码库中,有 91% 包含开源组件的过时版本。这意味着更新或补丁可用但尚未应用。 此外,Log4J 漏洞仍然存在。在全部的代码库中,有 5% 的代码库中发现了易受攻击的 Log4J 版本;审计的 Java 代码库中,也

2021-12-16

影响范围极广,危害极大。 CVSS评分:9.8 【受影响版本】 Apache log4j 2 在 2.0 至 2.14.1 (均含)版本均受影响。 【openLooKeng漏洞排查】 问题排查一: ESconnector在运行时依赖log4j 继续排查openLooKeng最终打包server时的j

2022-11-25

Ruby 3.1.3、3.0.5、2.1.7 发布了,这几个版本都只包含一个安全修复程序,修复了同一个漏洞: CVE-2021-33621:CGI 中的 HTTP 响应拆分 如果应用程序使用带有不受信任的用户输入的 cgi gem 生成 HTTP 响应,则攻击者可以利用它来注入

2022-03-31

反序列机制,可导致远程代码执行 (RCE),使用 JDK9 及以上版本皆有可能受到影响。 正在紧急修复? 从 Spring 项目的 Git 提交记录来看,在漏洞消息疯传的同时, Spring 开发者似乎在紧急处理漏洞相关的代码,比如 3 月 29日的新

2022-11-03

级到 OpenSSL 3.0.7,因为这两个漏洞影响 OpenSSL 3.0.0 至 3.0.6 版本,不影响 OpenSSL 1.1.1 和 1.0.2。 OpenSSL 团队表示,目前尚未发现利用上述漏洞的案例。此外,由于 OpenSSL 不会跟踪项目的使用情况,所以也没有关于受影响的服务器

2023-09-02

O2OA(翱途)平台伙伴、用户以及亲爱的小伙伴们,平台 V8.1版本已正式发布。我们以更安全、更高效、更好用的崭新面貌迎接9月的到来。 O2OA开发平台v8.1版本更注重于对系统级别的安全防护。其中重大的更新,是对系统安全进行

2023-01-30

由 @芋道源码 贡献 🐞 Bug Fixes 【修复】积木报表:部分请求会报错:JmReportTokenServices 实现类 getUsername 方法返回值不允许为空,由 @与或非 贡献 #358 【修复】积木报表:分享报错,由 @与或非 

2021-12-24

此,360CERT建议广大用户及时将Apache HTTP Server升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。 风险等级 360CERT 对该漏洞的评定结果如下 评定方式等级威胁等级高危影响面广泛攻击者价值高

2022-03-09

pe)。漏洞编号为 CVE-2022-0847。 据介绍,此漏洞自 5.8 版本起就已存在。非 root 用户通过注入和覆盖只读文件中的数据,从而获得 root 权限。因为非特权进程可以将代码注入 root 进程。 Max 表示,“脏管道”漏洞与几年前的