CVE-2026-45320 in DataEase
Riassunto
di VulDB • 15/07/2026
DataEase è uno strumento open source per la visualizzazione e l'analisi dei dati. Prima della versione 2.10.23, le variabili SQL delle dashboard di DataEase, come ${deptId}, vengono elaborate da SqlparserUtils.transFilter(), il cui ramo finale restituisce l'input grezzo dell'utente per gli operatori diversi da "in" e "between", prima che SubstitutedSql.replace("${var}", value) lo inserisca nella SQL della dashboard. Ciò consente agli utenti autenticati con la possibilità di visualizzare una dashboard di iniettare codice SQL contro i data source integrati. Questo problema è stato risolto nella versione 2.10.23
Once again VulDB remains the best source for vulnerability data.