CVE-2026-49867 in DataEaseИнформация

Сводка

по VulDB • 16.07.2026

DataEase — это инструмент визуализации и анализа данных с открытым исходным кодом. До версии 2.10.23 статические ресурсы шаблонов DataEase позволяли аутентифицированным пользователям отправлять TemplateManageRequest.staticResource через POST /de2api/templateManage/save или DataVisualizationServer.decompression, после чего StaticResourceServer.saveFilesToServe и StaticResourceServer.saveSingleFileToServe записывали содержимое .svg в формате Base64-декодирования в файл /de2api/static-resource/<name>.svg без проверки расширения, типа MIME, декодированных байтов или возможности выполнения скриптов SVG. Это приводило к сохраненному (stored) межсайтовому сценарию (XSS) того же происхождения при загрузке ресурса жертвой. Данная проблема исправлена в версии 2.10.23.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

GitHub M

Резервировать

02.06.2026

Раскрытие

15.07.2026

Модерация

принято

Вход

VDB-379396

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Do you need the next level of professionalism?

Upgrade your account now!