CVE-2026-49867 in DataEaseالمعلومات

الملخص

بحسب VulDB • 15/07/2026

DataEase هو أداة مفتوحة المصدر لتصور البيانات وتحليلها. قبل الإصدار 2.10.23، كانت موارد الثابتة لقوالب DataEase تتيح للمستخدمين المصادق عليهم إرسال TemplateManageRequest.staticResource عبر POST /de2api/templateManage/save أو DataVisualizationServer.decompression، وبعد ذلك تقوم StaticResourceServer.saveFilesToServe وStaticResourceServer.saveSingleFileToServe بكتابة محتوى .svg المفكوك من Base64 إلى المسار /de2api/static-resource/.svg دون التحقق من الامتداد، ونوع MIME، والبايتات المفكوكة، أو قابلية تنفيذ النصوص البرمجية في SVG، مما يؤدي إلى حدوث ثغرة تخزين Cross-Site Scripting (XSS) ضمن نفس الأصل عندما يقوم الضحية بتحميل المورد. تم إصلاح هذه المشكلة في الإصدار 2.10.23.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

GitHub M

حجز

02/06/2026

إفشاء

15/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379396

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!