CVE-2026-45320 in DataEasethông tin

Tóm tắt

Bởi VulDB • 15/07/2026

DataEase là một công cụ trực quan hóa và phân tích dữ liệu mã nguồn mở. Trước phiên bản 2.10.23, các biến SQL trong bảng điều khiển (dashboard) của DataEase như ${deptId} được xử lý bởi SqlparserUtils.transFilter(), nhánh cuối cùng trả về đầu vào thô từ người dùng cho các toán tử không phải IN và NOT BETWEEN trước khi SubstitutedSql.replace("${var}", value) chèn nó vào câu lệnh SQL của bảng điều khiển, cho phép những người dùng đã xác thực có thể xem bảng điều khiển tiêm SQL (SQL injection) chống lại các nguồn dữ liệu tích hợp. Vấn đề này đã được sửa chữa trong phiên bản 2.10.23

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

11/05/2026

Tiết lộ

15/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Interested in the pricing of exploits?

See the underground prices here!