CVE-2026-49867 in DataEase정보

요약

\~에 의해 VulDB • 2026. 07. 15.

DataEase는 오픈 소스 데이터 시각화 및 분석 도구입니다. 버전 2.10.23 이전의 DataEase에서는 인증된 사용자가 POST /de2api/templateManage/save 또는 DataVisualizationServer.decompression을 통해 TemplateManageRequest.staticResource를 제출할 수 있으며, 이후 StaticResourceServer.saveFilesToServe 및 StaticResourceServer.saveSingleFileToServe가 확장자, MIME 유형, 디코딩된 바이트 또는 SVG 스크립트 가능성을 검증하지 않고 Base64로 디코딩된 .svg 콘텐츠를 /de2api/static-resource/<name>.svg에 작성합니다. 이로 인해 피해자가 해당 리소스를 로드할 때 저장형 동일 출처 크로스 사이트 스크립팅(stored same-origin cross-site scripting)이 발생합니다. 이 문제는 버전 2.10.23에서 수정되었습니다.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

책임이 있는

GitHub M

예약하다

2026. 06. 02.

모더레이션

수락

항목

VDB-379396

EPSS

0.00000

출처

Want to stay up to date on a daily basis?

Enable the mail alert feature now!