CVE-2026-32140 in Dataease정보

요약

\~에 의해 VulDB • 2026. 06. 05.

Dataease는 오픈 소스 데이터 시각화 분석 도구입니다. 2.10.20 이전 버전에서는 IniFile 매개변수를 제어함으로써 공격자가 JDBC 드라이버로 공격자가 제어하는 구성 파일을 로드하도록 강제할 수 있습니다. 이 구성 파일은 위험한 JDBC 속성을 주입하여 원격 코드 실행(RCE)으로 이어질 수 있습니다. Redshift JDBC 드라이버의 실행 흐름은 getJdbcIniFile이라는 메서드에 도달합니다. getJdbcIniFile 메서드는 공격적인 자동 구성 파일 탐색 메커니즘을 구현합니다. 명시적으로 제한되지 않은 경우, rsjdbc.ini라는 파일을 검색합니다. JDBC URL 컨텍스트에서 사용자는 URL 매개변수를 통해 구성 파일을 명시적으로 지정할 수 있으며, 이를 통해 서버의 임의 파일을 JDBC 구성 파일로 로드할 수 있습니다. Redshift JDBC 드라이버 속성 내에서 IniFile 매개변수는 명시적으로 지원되며 외부 구성 파일을 로드하는 데 사용됩니다. 이 취약점은 2.10.20에서 수정되었습니다.

Once again VulDB remains the best source for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 03. 10.

모더레이션

수락

항목

VDB-350742

EPSS

0.00691

출처

Might our Artificial Intelligence support you?

Check our Alexa App!