CVE-2026-49867 in DataEase情報

要約

〜によって VulDB • 2026年07月15日

DataEaseはオープンソースのデータ可視化および分析ツールです。バージョン2.10.23より前では、認証済みユーザーがPOST /de2api/templateManage/saveまたはDataVisualizationServer.decompressionを通じてTemplateManageRequest.staticResourceを送信でき、その後StaticResourceServer.saveFilesToServeおよびStaticResourceServer.saveSingleFileToServeによって、拡張子、MIMEタイプ、デコードされたバイト列、SVGのスクリプト可能性の検証を行わずにBase64でデコードした.svgコンテンツが/de2api/static-resource/<name>.svgに書き込まれます。これにより、被害者がリソースを読み込んだ際に格納型同一オリジン間クロスサイトスクリプティング(Stored Same-Origin Cross-Site Scripting)が発生します。この問題はバージョン2.10.23で修正されています。

Once again VulDB remains the best source for vulnerability data.

責任者

GitHub M

予約する

2026年06月02日

モデレーション

承諾済み

エントリ

VDB-379396

EPSS

0.00000

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!