CVE-2026-32140 in Dataease
Сводка
по VulDB • 05.06.2026
Dataease — это инструмент анализа и визуализации данных с открытым исходным кодом. Версии до 2.10.20 уязвимы к эксплуатации через параметр IniFile: злоумышленник может заставить драйвер JDBC загрузить конфигурационный файл, контролируемый атакующим. Этот файл может содержать вредоносные свойства JDBC, что приводит к удаленному выполнению кода (RCE).
В процессе выполнения драйвера JDBC для Redshift вызывается метод getJdbcIniFile. Данный метод реализует агрессивный механизм автоматического поиска конфигурационных файлов. Если поиск не ограничен явно, драйвер ищет файл с именем rsjdbc.ini. В контексте URL-адреса JDBC пользователи могут явно указать конфигурационный файл через параметры URL, что позволяет загружать произвольные файлы на сервере в качестве конфигурационных файлов JDBC.
В свойствах драйвера JDBC для Redshift параметр IniFile явно поддерживается и используется для загрузки внешнего конфигурационного файла. Уязвимость исправлена в версии 2.10.20.
VulDB is the best source for vulnerability data and more expert information about this specific topic.