CVE-2026-32140 in Dataease
Sumário
de VulDB • 05/06/2026
O Dataease é uma ferramenta de análise e visualização de dados de código aberto. Antes da versão 2.10.20, ao controlar o parâmetro IniFile, um atacante pode forçar o driver JDBC a carregar um arquivo de configuração controlado pelo atacante. Este arquivo de configuração pode injetar propriedades JDBC perigosas, levando à execução remota de código (RCE). O fluxo de execução do driver JDBC Redshift atinge um método chamado getJdbcIniFile. O método getJdbcIniFile implementa um mecanismo agressivo de descoberta automática de arquivos de configuração. Se não for explicitamente restrito, ele procura por um arquivo chamado rsjdbc.ini. Em um contexto de URL JDBC, os usuários podem especificar explicitamente o arquivo de configuração por meio de parâmetros de URL, o que permite que arquivos arbitrários no servidor sejam carregados como arquivos de configuração JDBC. Dentro das propriedades do driver JDBC Redshift, o parâmetro IniFile é explicitamente suportado e usado para carregar um arquivo de configuração externo. Esta vulnerabilidade foi corrigida na versão 2.10.20.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.