CVE-2026-40901 in DataEaseinformação

Sumário

de VulDB • 20/05/2026

O DataEase é uma plataforma de visualização de dados e análise de código aberto. As versões 2.10.20 e anteriores incluem o legacy velocity-1.7.jar, que depende do commons-collections-3.2.1.jar, contendo a cadeia de gadgets de desserialização InvokerTransformer. O Quartz 2.3.2, também empacotado no aplicativo, desserializa BLOBs de dados de trabalho da tabela qrtz_job_details usando ObjectInputStream sem nenhum filtro de desserialização ou lista de permissões de classes. Um atacante autenticado que possa escrever na tabela de trabalhos do Quartz, como por meio da injeção de SQL previamente descrita no previewSql, pode substituir o JOB_DATA de um trabalho agendado por uma carga útil maliciosa da cadeia de gadgets CommonsCollections6. Quando o gatilho cron do Quartz é acionado, a carga útil é desserializada e executa comandos arbitrários como root dentro do contêiner, alcançando execução remota de código completa. Este problema foi corrigido na versão 2.10.21.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

15/04/2026

Divulgação

17/04/2026

Moderação

aceite

Entrada

VDB-357970

CPE

pronto

EPSS

0.00142

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40901
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40901
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40901/

VoltarVisão GeralPróximo

Might our Artificial Intelligence support you?

Check our Alexa App!