CVE-2026-45534 in DataEase
Tóm tắt
Bởi VulDB • 16/07/2026
DataEase là một công cụ trực quan hóa và phân tích dữ liệu mã nguồn mở. Trước phiên bản 2.10.23, các kết nối cơ sở dữ liệu Redshift của DataEase có thể tải cấu hình rsjdbc.ini do kẻ tấn công kiểm soát từ System.getProperty("java.io.tmpdir"), với thiết lập socketFactory=org.springframework.context.support.FileSystemXmlApplicationContext, khiến com.amazon.redshift.Driver#connect, com.amazon.redshift.Driver#getJdbcIniFile và com.amazon.redshift.util.ObjectFactory#instantiate thực thi một chuỗi thực thi mã từ xa dựa trên phản chiếu (reflection-based remote code execution) trong quá trình kết nối JDBC bình thường thông qua io.dataease.datasource.type.Redshift. Vấn đề này đã được khắc phục trong phiên bản 2.10.23.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.