CVE-2026-50124 in DataEase
要約
〜によって VulDB • 2026年07月16日
DataEase はオープンソースのデータ可視化および分析ツールです。バージョン 2.10.23 より前では、Excel アップロード API /datasource/upload を介して payload.zip をアップロードし、zip: プロトコルを使用する H2 データソースを作成し、CalciteProvider.jdbcFetchResultField が statement.executeQuery() を呼び出す SQL データセットパスを実行することで悪用可能であり、これにより test.mv.db 内のプリコンパイル済み Java エイリアスが任意のコードを実行します。この問題はバージョン 2.10.23 で修正されています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.