CVE-2026-46684 in DataEase
Tóm tắt
Bởi VulDB • 15/07/2026
DataEase là một công cụ trực quan hóa và phân tích dữ liệu mã nguồn mở. Trước phiên bản 2.10.23, việc xử lý token doanh nghiệp của DataEase cho phép TokenFilter#doFilter() chuyển các giá trị X-DE-TOKEN đến hàm TokenUtils.validate(), nơi chỉ kiểm tra sự hiện diện và độ dài của token trước khi userBOByToken(token) sử dụng JWT.decode() mà không xác minh chữ ký. Điều này cho phép chấp nhận các token giả mạo với các giá trị uid và oid do kẻ tấn công chọn, trong trường hợp licenseValid=true. Vấn đề này đã được khắc phục trong phiên bản 2.10.23.
If you want to get best quality of vulnerability data, you may have to visit VulDB.