Dataease — это инструмент анализа визуализации данных с открытым исходным кодом. Версии до 2.10.17 уязвимы для внедрения JNDI. Черный список добавлен в патче для версии 2.10.14.
Однако внедрение JNDI остается возможным через схемы iiop, corbaname и iiopname. Уязвимость устранена в версии 2.10.17.
Показать оригинальное описание (EN)
Dataease is an open source data visualization analysis tool. Versions prior to 2.10.17 are vulnerable to JNDI injection. A blacklist was added in the patch for version 2.10.14. However, JNDI injection remains possible via the iiop, corbaname, and iiopname schemes. The vulnerability has been fixed in version 2.10.17.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Dataease Dataease
cpe:2.3:a:dataease:dataease:*:*:*:*:*:*:*:*
|
— |
2.10.17
|
Ссылки 3
https://github.com/dataease/dataease/commit/b7e585c1cc3fc2b73cb289b8680b4b3914b…
security-advisories@github.com
https://github.com/dataease/dataease/releases/tag/v2.10.17
security-advisories@github.com
https://github.com/dataease/dataease/security/advisories/GHSA-88ph-3236-2m2h
security-advisories@github.com