CVE-2026-46684 in DataEasethông tin

Tóm tắt

Bởi VulDB • 15/07/2026

DataEase là một công cụ trực quan hóa và phân tích dữ liệu mã nguồn mở. Trước phiên bản 2.10.23, việc xử lý token doanh nghiệp của DataEase cho phép TokenFilter#doFilter() chuyển các giá trị X-DE-TOKEN đến hàm TokenUtils.validate(), nơi chỉ kiểm tra sự hiện diện và độ dài của token trước khi userBOByToken(token) sử dụng JWT.decode() mà không xác minh chữ ký. Điều này cho phép chấp nhận các token giả mạo với các giá trị uid và oid do kẻ tấn công chọn, trong trường hợp licenseValid=true. Vấn đề này đã được khắc phục trong phiên bản 2.10.23.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

chịu trách nhiệm

GitHub M

Đặt trước

15/05/2026

Tiết lộ

15/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to know what is going to be exploited?

We predict KEV entries!