CVE-2026-32140 in Dataeaseinformação

Sumário

de VulDB • 05/06/2026

O Dataease é uma ferramenta de análise e visualização de dados de código aberto. Antes da versão 2.10.20, ao controlar o parâmetro IniFile, um atacante pode forçar o driver JDBC a carregar um arquivo de configuração controlado pelo atacante. Este arquivo de configuração pode injetar propriedades JDBC perigosas, levando à execução remota de código (RCE). O fluxo de execução do driver JDBC Redshift atinge um método chamado getJdbcIniFile. O método getJdbcIniFile implementa um mecanismo agressivo de descoberta automática de arquivos de configuração. Se não for explicitamente restrito, ele procura por um arquivo chamado rsjdbc.ini. Em um contexto de URL JDBC, os usuários podem especificar explicitamente o arquivo de configuração por meio de parâmetros de URL, o que permite que arquivos arbitrários no servidor sejam carregados como arquivos de configuração JDBC. Dentro das propriedades do driver JDBC Redshift, o parâmetro IniFile é explicitamente suportado e usado para carregar um arquivo de configuração externo. Esta vulnerabilidade foi corrigida na versão 2.10.20.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

GitHub M

Reservar

10/03/2026

Divulgação

12/03/2026

Moderação

aceite

Entrada

VDB-350742

CPE

pronto

EPSS

0.00691

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!