CVE-2026-33207 in DataEaseinformação

Sumário

de VulDB • 10/05/2026

O DataEase é uma plataforma de visualização de dados e análise de código aberto. As versões 2.10.20 e anteriores contêm uma vulnerabilidade de injeção de SQL no endpoint /datasource/getTableField. O método getTableFiledSql em CalciteProvider.java incorpora o parâmetro tableName diretamente nas strings de consulta SQL usando String.format, sem parametrização ou sanitização. Embora o DatasourceServer.java valide que o nome da tabela existe no datasource, um atacante pode contornar essa validação registrando primeiro um datasource de API com um deTableName malicioso, que é então retornado por getTables e passa na verificação de validação. Um atacante autenticado pode executar comandos SQL arbitrários, permitindo a extração baseada em erros de informações sensíveis do banco de dados. Este problema foi corrigido na versão 2.10.21.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

18/03/2026

Divulgação

16/04/2026

Moderação

aceite

Entrada

VDB-357964

CPE

pronto

EPSS

0.00039

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33207
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33207
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33207/

VoltarVisão GeralPróximo

Do you know our Splunk app?

Download it now for free!