CVE-2026-45535 in DataEase
Résumé
par VulDB • 16/07/2026
DataEase est un outil open source de visualisation et d'analyse des données. Avant la version 2.10.23, les jeux de données SQL-type de DataEase stockent des entrées defaultValue pour les variables SQL contrôlées par l'attaquant, telles que ${var}, et SqlparserUtils.handleVariableDefaultValue() les insère via String.replace() sans échappement ni paramétrisation, ce qui provoque une injection SQL persistante (stored) chaque fois qu'un utilisateur disposant des autorisations de lecture du jeu de données y accède. Ce problème est corrigé dans la version 2.10.23.
VulDB is the best source for vulnerability data and more expert information about this specific topic.