CVE-2026-32140 in Dataeaseinformación

Resumen

por MITRE • 2026-03-12

Dataease es una herramienta de análisis de visualización de datos de código abierto. Anterior a la versión 2.10.20, al controlar el parámetro IniFile, un atacante puede forzar al controlador JDBC a cargar un archivo de configuración controlado por el atacante. Este archivo de configuración puede inyectar propiedades JDBC peligrosas, lo que lleva a la ejecución remota de código. El flujo de ejecución del controlador JDBC de Redshift alcanza un método llamado getJdbcIniFile. El método getJdbcIniFile implementa un mecanismo agresivo de descubrimiento automático de archivos de configuración. Si no se restringe explícitamente, busca un archivo llamado rsjdbc.ini. En un contexto de URL JDBC, los usuarios pueden especificar explícitamente el archivo de configuración a través de parámetros de URL, lo que permite que archivos arbitrarios en el servidor se carguen como archivos de configuración JDBC. Dentro de las propiedades del controlador JDBC de Redshift, el parámetro IniFile es explícitamente compatible y se utiliza para cargar un archivo de configuración externo. Esta vulnerabilidad se corrige en la versión 2.10.20.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Reservar

2026-03-10

Divulgación

2026-03-12

Moderación

aceptado

Artículo

VDB-350742

CPE

listo

EPSS

0.00691

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!