CVE-2026-45534 in DataEasethông tin

Tóm tắt

Bởi VulDB • 16/07/2026

DataEase là một công cụ trực quan hóa và phân tích dữ liệu mã nguồn mở. Trước phiên bản 2.10.23, các kết nối cơ sở dữ liệu Redshift của DataEase có thể tải cấu hình rsjdbc.ini do kẻ tấn công kiểm soát từ System.getProperty("java.io.tmpdir"), với thiết lập socketFactory=org.springframework.context.support.FileSystemXmlApplicationContext, khiến com.amazon.redshift.Driver#connect, com.amazon.redshift.Driver#getJdbcIniFile và com.amazon.redshift.util.ObjectFactory#instantiate thực thi một chuỗi thực thi mã từ xa dựa trên phản chiếu (reflection-based remote code execution) trong quá trình kết nối JDBC bình thường thông qua io.dataease.datasource.type.Redshift. Vấn đề này đã được khắc phục trong phiên bản 2.10.23.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

12/05/2026

Tiết lộ

15/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!