CVE-2026-45535 in DataEase
الملخص
بحسب VulDB • 16/07/2026
DataEase هو أداة مفتوحة المصدر لتصور البيانات وتحليلها. قبل الإصدار 2.10.23، كانت مجموعات بيانات DataEase من نوع SQL تخزن إدخالات متغير defaultValue التي يتحكم فيها المهاجم، مثل ${var}، ويقوم SqlparserUtils.handleVariableDefaultValue() بإدراجها باستخدام String.replace() دون هروب (escaping) أو استخدام المعاملات (parameterization)، مما يؤدي إلى حقن SQL مخزن كلما قام مستخدم لديه إذن قراءة مجموعة البيانات بالوصول إليها. تم إصلاح هذه المشكلة في الإصدار 2.10.23.
If you want to get best quality of vulnerability data, you may have to visit VulDB.