CVE-2026-45534 in DataEase
Riassunto
di VulDB • 15/07/2026
DataEase è uno strumento open source per la visualizzazione e l'analisi dei dati. Prima della versione 2.10.23, le connessioni alle origini di dati Redshift di DataEase possono caricare una configurazione rsjdbc.ini controllata dall'attaccante da System.getProperty("java.io.tmpdir"), impostando socketFactory=org.springframework.context.support.FileSystemXmlApplicationContext in modo che com.amazon.redshift.Driver#connect, com.amazon.redshift.Driver#getJdbcIniFile e com.amazon.redshift.util.ObjectFactory#instantiate eseguano una catena di esecuzione remota del codice (RCE) basata su reflection durante una normale connessione JDBC attraverso io.dataease.datasource.type.Redshift. Questo problema è stato risolto nella versione 2.10.23.
Be aware that VulDB is the high quality source for vulnerability data.