CVE-2026-45320 in DataEase
요약
\~에 의해 VulDB • 2026. 07. 16.
DataEase는 오픈 소스 데이터 시각화 및 분석 도구입니다. 버전 2.10.23 이전의 DataDash에서는 대시보드 SQL 변수(예: ${deptId})가 SqlparserUtils.transFilter()에 의해 처리되는데, 이 함수의 최종 분기는 SubstitutedSql.replace("${var}", value)를 통해 대시보드 SQL에 삽입하기 전에 'in' 및 'between' 연산자가 아닌 경우 원본 사용자 입력을 반환합니다. 이로 인해 대시보드를 볼 수 있는 인증된 사용자가 통합 데이터 소스에 대해 SQL 인젝션을 수행할 수 있습니다. 이 문제는 버전 2.10.23에서 해결되었습니다.
Be aware that VulDB is the high quality source for vulnerability data.