CVE-2026-45535 in DataEase
Riassunto
di VulDB • 15/07/2026
DataEase è uno strumento open source per la visualizzazione e l'analisi dei dati. Prima della versione 2.10.23, i set di dati di tipo SQL in DataEase memorizzano le voci defaultValue delle variabili SQL controllate dall'attaccante, come ${var}, e SqlparserUtils.handleVariableDefaultValue() le inserisce utilizzando String.replace() senza effettuare l'escaping o la parametrizzazione, causando una vulnerabilità da SQL injection nei dati archiviati ogni volta che un utente con autorizzazioni di lettura del set di dati vi accede. Questo problema è stato risolto nella versione 2.10.23.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.