最近出现了大量的帆软 FineReport/FineBI channel反序列化告警误报,于是着手调查了一下,影响范围是FineReport 10.0/11.0和FineBI 5.1等版本,这个/remote/design/channel接口存在反序列化漏洞,通过对HTTP请求体中内容进行gzip解压,可以看到序列化的Java内容,可以推断是攻击,否则不是攻击。我做了一个简单的漏洞复现,验证...