DataEase 中的严重身份验证绕过漏洞。知识科普数据安全网络安全 CVE-2024-56511 漏洞会影响DataEase≤2.10.3版本。 如果被利用,攻击者可以访问受保护的资源,可能导致数据泄露和业务运营受损。 DataEase 团队已发布 2.10.4 版,解决了这一关键漏洞。 强烈建议用户立即升级到该版本,以确保系统安全。 蜂群信服 1.1万粉丝 ...
该漏洞存在于io.dataease.auth.filter.TokenFilter类中,认证过程中不恰当的URL过滤允许攻击者绕过安全措施。 公告指出:“io.dataease.auth.filter.TokenFilter 类中的身份验证存在漏洞,可被绕过并导致未经授权访问的风险。 ” 该漏洞源于 TokenFilter 类处理请求 URL 的方式。 具体来说,WhitelistUtils.match 方法会过滤...
在DataEase数据源中存在反序列化漏洞,漏洞代码位于core/core-backend/src/main/java/io/dataease/datasource/type/Mysql.java,由于对用户可控的jdbc参数过滤不当,可能导致绕过mysql jdbc攻击黑名单,攻击者可利用该漏洞导致反序列化执行或读取任意文件。 漏洞危害 ...
DataEase是一款高性能、易用的自助式数据可视化分析工具,帮助用户快速探索、理解和分享数据洞察。 DataEase存在远程命令执行的漏洞,攻击者可以利用该漏洞利用代码注入漏洞,通过向应用程序输入恶意构造的数据,实现对系统执行非授权的指令或访问未授权的数据,从而对系统的安全性造成威胁。
2、漏洞描述 DataEase存在SQL注入漏洞,不受SQL注入黑名单影响 3、受影响版本 DataEase ≤ v.1.18.9 4、FOFA语句 "DataEase" 5、漏洞复现 SQL 语句使用 ${} 符号位于以下文件位置。 https://github.com/dataease/dataease/blob/dev/backend/src/main/java/io/dataease/ext/query/GridSql.xml ...
2023年9月21日,GitHub用户Devotes发现了DataEase开源数据可视化分析平台存在安全漏洞,并向DataEase开源项目组进行上报。此次发现的漏洞为: ■DataEase存在可获取用户Cookie的漏洞,漏洞编号为CVE-2023-40183,详情请查看:https://github.com/dataease/dataease/security/advisories/GHSA-w2r4-2r4w-fjxv; ...
2023年7月3日,GitHub用户useafter发现了DataEase开源数据可视化分析平台存在安全漏洞,并向DataEase开源项目组进行上报。此次发现的漏洞为: ■DataEase存在SQL注入漏洞,漏洞编号为CVE-2023-37258,详情请查看:https://github.com/dataease/dataease/security/advisories/GHSA-r39x-fcc6-47g4。
漏洞类型: SQL注入 CVSS v2: -- CVSS v3: --影响范围 涉及厂商: dataease_project(2) 涉及产品: dataease 影响对象数量级: 影响万级可利用性 在野利用: 否 POC公开: 否 EXP公开: 否 武器化: 否 利用条件: 需要拥有用户访问权限 检测方法: 通过版本检测相关...
https://dataease.io/ 代码托管地址 https://github.com/dataease/dataease 漏洞情况 DataEase是一种关系数据库管理系统,通过dataSourceId参数可以执行SQL注入,实现任意SQL代码执行。Cve编号 CVE-2022-34114 受影响的版本 [1.11.1, 1.11.2)修复方案 将组件 DataEase 升级至 1.11.2 及以上版本 链接地址:https...
2024年2月29日,网上公开披露了一个Dataease jdbc 反序列化漏洞(CVE-2024-23328),Dataease是一款开源的数据可视化分析工具,请各位用户尽快安装漏洞补丁。 漏洞风险:受影响版本中,由于未对用户输入的数据库连接参数做有效过滤,具有Dataease 登陆权限的攻击者可通过使用URL编码jdbc url中的autoDeserialize、allowUrlInLocalIn...