CVE-2026-40901 in DataEase
요약
\~에 의해 VulDB • 2026. 05. 20.
DataEase는 오픈소스 데이터 시각화 및 분석 플랫폼입니다. 2.10.20 이하 버전에는 레거시 velocity-1.7.jar가 포함되어 있으며, 이는 InvokerTransformer 역직렬화 고adget 체인을 포함하는 commons-collections-3.2.1.jar를 의존성으로 가져옵니다. 애플리케이션에 함께 번들된 Quartz 2.3.2는 ObjectInputStream을 사용하여 qrtz_job_details 테이블의 JOB_DATA BLOB을 역직렬화하는데, 이때 역직렬화 필터나 클래스 허용 목록(class allowlist)이 적용되지 않습니다. 이전에 설명된 previewSql의 SQL 인젝션을 통해 Quartz 작업 테이블에 쓸 수 있는 인증된 공격자는 예약된 작업의 JOB_DATA를 악의적인 CommonsCollections6 고adget 체인 페이로드로 교체할 수 있습니다. Quartz cron 트리거가 발동하면 페이로드가 역직렬화되어 컨테이너 내부에서 루트 권한으로 임의 명령을 실행하며, 완전한 원격 코드 실행(RCE)을 달성합니다. 이 문제는 버전 2.10.21에서 수정되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.