DataEase 远程代码执行漏洞风险通告

admin 2025年6月9日17:02:37评论7 views字数 932阅读3分6秒阅读模式

一、漏洞描述

DataEase是一款数据库管理软件,旨在帮助用户轻松地创建和管理数据库应用程序。该软件提供了直观的界面和强大的功能,使用户能够快速设计数据库结构、建立关系、定义数据输入和输出格式,并生成相应的应用程序代码。

近日,互联网上披露了关于DataEase中存在三个远程代码执行漏洞。在受影响版本中,CVE-2025-49001是由于JWT校验机制错误导致攻击者可伪造JWT令牌绕过身份验证流程;CVE-2025-48999是由于DataEase后台在配置Redshift数据源时,未对JDBC连接参数进行严格校验,攻击者在拥有后台权限的情况下,可以通过构造恶意的JDBC连接字符串注入恶意代码;CVE-2025-49002是由于DataEase后台配置H2数据源的功能中,由于系统未对H2 JDBC连接参数进行严格校验,攻击者可通过恶意构造的JDBC URL注入恶意代码;成功利用漏洞后,攻击者可获取目标服务器权限。该漏洞对应的CVE编号为CVE-2025-49001、CVE-2025-48999、CVE-2025-49002,该漏洞影响较高,请受影响的用户做好安全加固措施。

二、漏洞等级

三、影响范围

DataEase <= 2.10.8

四、安全版本

DataEase >= 2.10.10

五、修复建议

目前官方已修复该漏洞,建议受影响用户尽快前往官网升级至安全版本。

六、缓解方案

目前暂无缓解方案。

七、参考链接

https://github.com/dataease/dataease/releases/tag/v2.10.10

https://github.com/dataease/dataease/security/advisories/GHSA-xx2m-gmwg-mf3r

https://github.com/dataease/dataease/security/advisories/GHSA-999m-jv2p-5h34

https://github.com/dataease/dataease/security/advisories/GHSA-6pq2-6q8x-mp2r

原文始发于微信公众号(企业安全实践):【漏洞预警】DataEase 远程代码执行漏洞风险通告

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月9日17:02:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   DataEase 远程代码执行漏洞风险通告https://cn-sec.com/archives/4149251.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息