CVE-2026-45534 in DataEaseinformación

Resumen

por VulDB • 2026-07-15

DataEase es una herramienta de visualización y análisis de datos de código abierto. Antes de la versión 2.10.23, las conexiones a fuentes de datos Redshift en DataEase pueden cargar un archivo de configuración rsjdbc.ini controlado por el atacante desde System.getProperty("java.io.tmpdir"), estableciendo socketFactory=org.springframework.context.support.FileSystemXmlApplicationContext; esto hace que com.amazon.redshift.Driver#connect, com.amazon.redshift.Driver#getJdbcIniFile y com.amazon.redshift.util.ObjectFactory#instantiate ejecuten una cadena de ejecución remota de código (RCE) basada en reflexión durante una conexión JDBC normal a través de io.dataease.datasource.type.Redshift. Este problema se corrige en la versión 2.10.23.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Reservar

2026-05-12

Divulgación

2026-07-15

Moderación

aceptado

Artículo

VDB-379378

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!