CVE-2026-45320 in DataEase
Résumé
par VulDB • 16/07/2026
DataEase est un outil open source de visualisation et d'analyse des données. Avant la version 2.10.23, les variables SQL des tableaux de bord DataEase telles que ${deptId} sont traitées par SqlparserUtils.transFilter(), dont le dernier branchement renvoie l'entrée brute de l'utilisateur pour les opérateurs autres que IN et BETWEEN avant que SubstitutedSql.replace("${var}", value) ne l'intègre dans la requête SQL du tableau de bord, permettant ainsi aux utilisateurs authentifiés pouvant afficher un tableau de bord d'injecter des instructions SQL contre les sources de données intégrées. Ce problème est corrigé dans la version 2.10.23
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.