CVE-2026-40901 in DataEaseinformation

Résumé

par VulDB • 20/05/2026

DataEase est une plateforme open-source de visualisation de données et d'analyse. Les versions 2.10.20 et inférieures incluent l'ancien fichier velocity-1.7.jar, qui dépend de commons-collections-3.2.1.jar contenant la chaîne de gadgets de désérialisation InvokerTransformer. Quartz 2.3.2, également intégré à l'application, désérialise les BLOBs de données de tâches de la table qrtz_job_details en utilisant ObjectInputStream sans aucun filtre de désérialisation ni liste blanche de classes. Un attaquant authentifié capable d'écrire dans la table des tâches Quartz, par exemple via l'injection SQL précédemment décrite dans previewSql, peut remplacer les JOB_DATA d'une tâche planifiée par une charge utile malveillante de la chaîne de gadgets CommonsCollections6. Lorsque le déclencheur cron de Quartz se déclenche, la charge utile est désérialisée et exécute des commandes arbitraires en tant que root à l'intérieur du conteneur, permettant ainsi une exécution complète de code à distance (RCE). Ce problème a été corrigé dans la version 2.10.21.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

15/04/2026

Divulgation

17/04/2026

Modérer

accepté

Entrée

VDB-357970

CPE

prêt

EPSS

0.00142

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40901
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40901
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40901/

PrécédentAperçuSuivant

Might our Artificial Intelligence support you?

Check our Alexa App!