Soumettre #804256: Dataease dataease v2.10.20 SQL Injectioninformation

Titre	Dataease dataease v2.10.20 SQL Injection
Description	DataEase 允许用户在数据集 SQL 中定义 `${变量名}` 占位符（SqlVariable），仪表板查询时由前端传入 filter 值进行替换。替换逻辑位于 `SqlparserUtils.transFilter()`： ```java private String transFilter(SqlVariableDetails sqlVariableDetails, ...) { if (sqlVariableDetails.getOperator().equals("in")) { ... return "'" + String.join("','", sqlVariableDetails.getValue()) + "'"; } else if (...) { ... } else { return (String) sqlVariableDetails.getValue().get(0); // ← 原样返回用户输入 } } ``` 最后的 `else` 分支（适用于 `=`、`!=`、`<`、`>`、`like` 等所有非 in/between 算子）直接返回用户输入，随后被 `SubstitutedSql.replace("${var}", value)` 拼回 SQL。攻击者可通过控制该 value 注入任意 SQL。
La source	⚠️ https://github.com/xpp3901/CVE_APPLY/tree/main/V-D001_DataEase_SqlVariable_Injection
Utilisateur	xpp39 (UID 97299)
Soumission	14/04/2026 09:46 (il y a 2 mois)
Modérer	16/05/2026 11:35 (1 month later)
Statut	Accepté
Entrée VulDB	364315 [Dataease 2.10.20 Data Dashboard SqlparserUtils.java SqlparserUtils.transFilter injection SQL]
Points	20

Want to stay up to date on a daily basis?

Enable the mail alert feature now!