CVE-2026-45535 in DataEaseinformation

Résumé

par VulDB • 16/07/2026

DataEase est un outil open source de visualisation et d'analyse des données. Avant la version 2.10.23, les jeux de données SQL-type de DataEase stockent des entrées defaultValue pour les variables SQL contrôlées par l'attaquant, telles que ${var}, et SqlparserUtils.handleVariableDefaultValue() les insère via String.replace() sans échappement ni paramétrisation, ce qui provoque une injection SQL persistante (stored) chaque fois qu'un utilisateur disposant des autorisations de lecture du jeu de données y accède. Ce problème est corrigé dans la version 2.10.23.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Réserver

12/05/2026

Divulgation

15/07/2026

Modérer

accepté

Entrée

VDB-379382

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Interested in the pricing of exploits?

See the underground prices here!