CVE-2026-45535 in DataEasethông tin

Tóm tắt

Bởi VulDB • 16/07/2026

DataEase là một công cụ trực quan hóa và phân tích dữ liệu mã nguồn mở. Trước phiên bản 2.10.23, các tập dữ liệu (datasets) loại SQL của DataEase lưu trữ các mục defaultValue cho biến SQL do kẻ tấn công kiểm soát, chẳng hạn như ${var}, và SqlparserUtils.handleVariableDefaultValue() chèn chúng vào bằng String.replace() mà không thực hiện thoát ký tự hoặc tham số hóa, dẫn đến lỗi SQL injection khi người dùng có quyền đọc tập dữ liệu truy cập vào nó. Vấn đề này đã được khắc phục trong phiên bản 2.10.23.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

12/05/2026

Tiết lộ

15/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you know our Splunk app?

Download it now for free!