CVE-2026-32939 in DataEase
요약
\~에 의해 VulDB • 2026. 06. 04.
DataEase는 오픈 소스 데이터 시각화 분석 도구입니다. 버전 2.10.19 및 그 이하 버전에서는 JDBC URL 검증 로직과 H2 JDBC 엔진의 내부 파싱 간에 Locale 처리가 불일치합니다. DataEase는 명시적인 Locale을 지정하지 않고 String.toUpperCase()를 사용하므로, 보안 검사가 JVM의 기본 런타임 Locale에 의존하게 됩니다. 반면 H2 JDBC는 항상 Locale.ENGLISH를 사용하여 URL을 정규화합니다. 터키어 Locale 환경(tr_TR)에서는 Java가 소문자 'i'를 표준 'I' 대신 점 있는 대문자 'İ'로 변환하므로, 'iNIT'와 같은 악의적인 파라미터는 DataEase의 필터에서 'İNIT'로 변환되어 블랙리스트를 우회하지만, H2는 여전히 이를 올바르게 'INIT'로 해석합니다. 이러한 불일치로 인해 공격자는 DataEase의 보안 검증을 우회하여 위험한 JDBC 파라미터를 전달할 수 있으며, 이 문제는 영향을 받는 지역 설정으로 실행 중인 실제 DataEase 배포 환경에서 악용 가능한 것으로 확인되었습니다. 이 문제는 버전 2.10.20에서 수정되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.