DataEase是一个开源的数据可视化分析工具。用于帮助用户快速分析数据并洞察业务趋势,从而实现业务的改进与优化。
2025年6月, 互联网公开披露 DataEase 存在多个高危漏洞(CVE-2025-48999、CVE-2025-49002、CVE-2025-49001),攻击者可通过组合漏洞实现前台远程代码执行,危害极大。相关技术细节已公开,建议受影响用户尽快修复。
漏洞成因
CVE-2025-48999:
该漏洞源于 DataEase 后台在配置 Redshift 数据源时,对 JDBC 连接参数缺乏严格校验。攻击者在拥有后台权限的情况下,可以通过构造恶意的 JDBC 连接字符串,将恶意 Java 代码注入到服务器端。由于服务端未对输入参数进行有效过滤和限制,最终导致攻击者能够远程执行任意 Java 代码,获取服务器控制权限。
CVE-2025-49002:
该漏洞与 Redshift JDBC 漏洞类似,存在于 DataEase 后台配置 H2 数据源的功能中。由于系统未对 H2 JDBC 连接参数进行安全校验,攻击者可通过恶意构造的 JDBC URL 注入恶意代码。H2 数据库本身支持多种特殊的 JDBC 参数(如 INIT),攻击者可利用这些特性在服务器端执行任意 Java 代码,进而获取服务器权限。
CVE-2025-49001:
该漏洞源于 DataEase 在实现 JWT(JSON Web Token)鉴权时,存在密钥校验逻辑缺陷。当系统对 JWT 进行密钥验证失败后,未能及时中断后续流程,导致请求仍然被传递到目标业务函数。攻击者可以伪造任意 JWT 密钥,绕过正常的身份认证与权限校验,进而获取本不应有的访问权限,为后续攻击(如 RCE)提供便利条件。
漏洞影响
远程代码执行(RCE):攻击者可在服务器上执行任意 Java 代码,获取服务器控制权限,可能导致数据泄露、服务被控、业务中断等严重后果。
权限绕过:攻击者可伪造 JWT 密钥,绕过身份认证,获取本不应有的访问权限,为进一步攻击(如 RCE)提供条件。
处置优先级:高
漏洞类型:权限绕过/远程代码执行
漏洞危害等级:高
触发方式:网络远程
权限认证要求:无需权限
系统配置要求:默认配置可利用
用户交互要求:无需用户交互
利用成熟度:POC/EXP 已公开
修复复杂度:低,官方提供升级修复方案
DataEase < 2.10.10
临时缓解方案
如果暂时无法升级,可以采取以下措施降低风险:
通过防护类设备(如 WAF、防火墙等)拦截请求中出现的恶意 JDBC 特征,阻断可疑流量。
在不影响业务的情况下,限制服务器出网,防止攻击者利用 JDBC 连接外部资源。
如非必要,避免将 DataEase 暴露在互联网,限制访问来源。
升级修复方案
DataEase 官方已发布修复版本,请尽快升级至 2.10.10 及以上版本。
下载地址:https://github.com/dataease/dataease/releases/tag/v2.10.10
原文始发于微信公众号(长亭安全应急响应中心):【已复现】DataEase 远程代码执行漏洞(CVE-2025-49002、CVE-2025-49001)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论