Описание
Dataease is an open source data visualization analysis tool. A deserialization vulnerability exists in the DataEase datasource, which can be exploited to execute arbitrary code. The location of the vulnerability code is core/core-backend/src/main/java/io/dataease/datasource/type/Mysql.java. The blacklist of mysql jdbc attacks can be bypassed and attackers can further exploit it for deserialized execution or reading arbitrary files. This vulnerability is patched in 1.18.15 and 2.3.0.
Ссылки
- Patch
- Patch
- ExploitVendor Advisory
- Patch
- Patch
- ExploitVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 1.18.15 (исключая)Версия от 2.0.0 (включая) до 2.3.0 (исключая)
Одно из
cpe:2.3:a:dataease:dataease:*:*:*:*:*:*:*:*
cpe:2.3:a:dataease:dataease:*:*:*:*:*:*:*:*
EPSS
Процентиль: 71%
0.00698
Низкий
9.1 Critical
CVSS3
Дефекты
CWE-502
CWE-502
Связанные уязвимости
CVSS3: 9.1
fstec
почти 2 года назад
Уязвимость компонента core/core-backend/src/main/java/io/dataease/datasource/type/Mysql.java системы управления базами данных (СУБД) Dataease, позволяющая нарушителю раскрыть защищаемую информацию
EPSS
Процентиль: 71%
0.00698
Низкий
9.1 Critical
CVSS3
Дефекты
CWE-502
CWE-502