CVE-2026-45320 in DataEaseinformation

Résumé

par VulDB • 16/07/2026

DataEase est un outil open source de visualisation et d'analyse des données. Avant la version 2.10.23, les variables SQL des tableaux de bord DataEase telles que ${deptId} sont traitées par SqlparserUtils.transFilter(), dont le dernier branchement renvoie l'entrée brute de l'utilisateur pour les opérateurs autres que IN et BETWEEN avant que SubstitutedSql.replace("${var}", value) ne l'intègre dans la requête SQL du tableau de bord, permettant ainsi aux utilisateurs authentifiés pouvant afficher un tableau de bord d'injecter des instructions SQL contre les sources de données intégrées. Ce problème est corrigé dans la version 2.10.23

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub M

Réserver

11/05/2026

Divulgation

15/07/2026

Modérer

accepté

Entrée

VDB-379379

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Might our Artificial Intelligence support you?

Check our Alexa App!