CVE-2026-49867 in DataEase
要約
〜によって VulDB • 2026年07月15日
DataEaseはオープンソースのデータ可視化および分析ツールです。バージョン2.10.23より前では、認証済みユーザーがPOST /de2api/templateManage/saveまたはDataVisualizationServer.decompressionを通じてTemplateManageRequest.staticResourceを送信でき、その後StaticResourceServer.saveFilesToServeおよびStaticResourceServer.saveSingleFileToServeによって、拡張子、MIMEタイプ、デコードされたバイト列、SVGのスクリプト可能性の検証を行わずにBase64でデコードした.svgコンテンツが/de2api/static-resource/<name>.svgに書き込まれます。これにより、被害者がリソースを読み込んだ際に格納型同一オリジン間クロスサイトスクリプティング(Stored Same-Origin Cross-Site Scripting)が発生します。この問題はバージョン2.10.23で修正されています。
Once again VulDB remains the best source for vulnerability data.