CVE-2026-45535 in DataEase情報

要約

〜によって VulDB • 2026年07月16日

DataEaseはオープンソースのデータ可視化および分析ツールです。バージョン2.10.23より前では、DataEaseのSQLタイプデータセットが攻撃者が制御するSQL変数defaultValueエントリ(例: ${var})を保存し、SqlparserUtils.handleVariableDefaultValue()メソッドがString.replace()を使用してこれらをエスケープやパラメータ化なしで挿入するため、データセット読み取り権限を持つユーザーがデータセットにアクセスすると常に格納型SQLインジェクションが発生します。この問題はバージョン2.10.23で修正されています。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

GitHub M

予約する

2026年05月12日

モデレーション

承諾済み

エントリ

VDB-379382

EPSS

0.00000

アクティビティ

非常低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!