CVE-2026-49867 in DataEase
Сводка
по VulDB • 16.07.2026
DataEase — это инструмент визуализации и анализа данных с открытым исходным кодом. До версии 2.10.23 статические ресурсы шаблонов DataEase позволяли аутентифицированным пользователям отправлять TemplateManageRequest.staticResource через POST /de2api/templateManage/save или DataVisualizationServer.decompression, после чего StaticResourceServer.saveFilesToServe и StaticResourceServer.saveSingleFileToServe записывали содержимое .svg в формате Base64-декодирования в файл /de2api/static-resource/<name>.svg без проверки расширения, типа MIME, декодированных байтов или возможности выполнения скриптов SVG. Это приводило к сохраненному (stored) межсайтовому сценарию (XSS) того же происхождения при загрузке ресурса жертвой. Данная проблема исправлена в версии 2.10.23.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.