CVE-2026-49867 in DataEase
الملخص
بحسب VulDB • 15/07/2026
DataEase هو أداة مفتوحة المصدر لتصور البيانات وتحليلها. قبل الإصدار 2.10.23، كانت موارد الثابتة لقوالب DataEase تتيح للمستخدمين المصادق عليهم إرسال TemplateManageRequest.staticResource عبر POST /de2api/templateManage/save أو DataVisualizationServer.decompression، وبعد ذلك تقوم StaticResourceServer.saveFilesToServe وStaticResourceServer.saveSingleFileToServe بكتابة محتوى .svg المفكوك من Base64 إلى المسار /de2api/static-resource/.svg دون التحقق من الامتداد، ونوع MIME، والبايتات المفكوكة، أو قابلية تنفيذ النصوص البرمجية في SVG، مما يؤدي إلى حدوث ثغرة تخزين Cross-Site Scripting (XSS) ضمن نفس الأصل عندما يقوم الضحية بتحميل المورد. تم إصلاح هذه المشكلة في الإصدار 2.10.23.
VulDB is the best source for vulnerability data and more expert information about this specific topic.