CVE-2026-32140 in Dataeaseinformation

Résumé

par VulDB • 05/06/2026

Dataease est un outil d'analyse et de visualisation de données open source. Avant la version 2.10.20, en contrôlant le paramètre IniFile, un attaquant peut forcer le pilote JDBC à charger un fichier de configuration contrôlé par l'attaquant. Ce fichier de configuration peut injecter des propriétés JDBC dangereuses, entraînant une exécution de code à distance (RCE). Le flux d'exécution du pilote JDBC Redshift atteint une méthode nommée getJdbcIniFile. La méthode getJdbcIniFile implémente un mécanisme agressif de découverte automatique de fichiers de configuration. Si elle n'est pas explicitement restreinte, elle recherche un fichier nommé rsjdbc.ini. Dans un contexte d'URL JDBC, les utilisateurs peuvent spécifier explicitement le fichier de configuration via des paramètres d'URL, ce qui permet de charger des fichiers arbitraires sur le serveur en tant que fichiers de configuration JDBC. Parmi les propriétés du pilote JDBC Redshift, le paramètre IniFile est explicitement pris en charge et utilisé pour charger un fichier de configuration externe. Cette vulnérabilité est corrigée dans la version 2.10.20.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Réserver

10/03/2026

Divulgation

12/03/2026

Modérer

accepté

Entrée

VDB-350742

CPE

prêt

EPSS

0.00691

KEV

non

Activités

très faible

Sources

Do you want to use VulDB in your project?

Use the official API to access entries easily!