CVE-2026-45535 in DataEaseالمعلومات

الملخص

بحسب VulDB • 16/07/2026

DataEase هو أداة مفتوحة المصدر لتصور البيانات وتحليلها. قبل الإصدار 2.10.23، كانت مجموعات بيانات DataEase من نوع SQL تخزن إدخالات متغير defaultValue التي يتحكم فيها المهاجم، مثل ${var}، ويقوم SqlparserUtils.handleVariableDefaultValue() بإدراجها باستخدام String.replace() دون هروب (escaping) أو استخدام المعاملات (parameterization)، مما يؤدي إلى حقن SQL مخزن كلما قام مستخدم لديه إذن قراءة مجموعة البيانات بالوصول إليها. تم إصلاح هذه المشكلة في الإصدار 2.10.23.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub M

حجز

12/05/2026

إفشاء

15/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379382

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!