CVE-2025-53006

Опубликовано: 02 июл. 2025

Источник: nvd

CVSS3: 9.8

EPSS Низкий

Описание

DataEase is an open source business intelligence and data visualization tool. Prior to version 2.10.11, in both PostgreSQL and Redshift, apart from parameters like "socketfactory" and "socketfactoryarg", there are also "sslfactory" and "sslfactoryarg" with similar functionality. The difference lies in that "sslfactory" and related parameters need to be triggered after establishing the connection. Other similar parameters include "sslhostnameverifier", "sslpasswordcallback", and "authenticationPluginClassName". This issue has been patched in 2.10.11.

Ссылки

https://github.com/dataease/dataease/security/advisories/GHSA-q726-5pr9-x7gm
Exploit
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:dataease:dataease:*:*:*:*:*:*:*:*

Версия до 2.10.11 (исключая)

EPSS

Процентиль: 25%

0.00089

Низкий

9.8 Critical

CVSS3

Дефекты

CWE-153

Связанные уязвимости

BDU:2025-08272

CVSS3: 8.8

fstec

8 месяцев назад

Уязвимость системы управления базами данных (СУБД) Dataease, связанная с неправильной нейтрализацией замещающих символов, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации