| 标题 | Dataease dataease v2.10.20 SQL Injection |
|---|
| 描述 | DataEase 允许用户在数据集 SQL 中定义 `${变量名}` 占位符(SqlVariable),仪表板查询时由前端传入 filter 值进行替换。替换逻辑位于 `SqlparserUtils.transFilter()`:
```java
private String transFilter(SqlVariableDetails sqlVariableDetails, ...) {
if (sqlVariableDetails.getOperator().equals("in")) {
...
return "'" + String.join("','", sqlVariableDetails.getValue()) + "'";
} else if (...) {
...
} else {
return (String) sqlVariableDetails.getValue().get(0); // ← 原样返回用户输入
}
}
```
最后的 `else` 分支(适用于 `=`、`!=`、`<`、`>`、`like` 等所有非 in/between 算子)**直接返回用户输入**,随后被 `SubstitutedSql.replace("${var}", value)` 拼回 SQL。攻击者可通过控制该 value 注入任意 SQL。 |
|---|
| 来源 | ⚠️ https://github.com/xpp3901/CVE_APPLY/tree/main/V-D001_DataEase_SqlVariable_Injection |
|---|
| 用户 | xpp39 (UID 97299) |
|---|
| 提交 | 2026-04-14 09時46分 (2 月前) |
|---|
| 管理 | 2026-05-16 11時35分 (1 month later) |
|---|
| 状态 | 已接受 |
|---|
| VulDB条目 | 364315 [Dataease 2.10.20 Data Dashboard SqlparserUtils.java SqlparserUtils.transFilter SQL注入] |
|---|
| 积分 | 20 |
|---|