Dataease — это инструмент анализа визуализации данных с открытым исходным кодом. В версиях 2.10.14 и ниже DataEase не выполняла правильную фильтрацию при установлении соединений JDBC с Oracle, что приводило к риску внедрения JNDI (внедрение имен Java и интерфейса каталогов). Эта проблема исправлена в версии 2.10.15.
Показать оригинальное описание (EN)
Dataease is an open source data visualization analysis tool. In versions 2.10.14 and below, DataEase did not properly filter when establishing JDBC connections to Oracle, resulting in a risk of JNDI injection (Java Naming and Directory Interface injection). This issue is fixed in version 2.10.15.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Dataease Dataease
cpe:2.3:a:dataease:dataease:*:*:*:*:*:*:*:*
|
— |
2.10.15
|
Ссылки 3
https://github.com/dataease/dataease/commit/7b68eb3dfccbbd12ec977e6320dbd3e32a7…
security-advisories@github.com
https://github.com/dataease/dataease/releases/tag/v2.10.15
security-advisories@github.com
https://github.com/dataease/dataease/security/advisories/GHSA-q754-4pc2-wjqw
security-advisories@github.com