DataEase — это инструмент анализа визуализации данных с открытым исходным кодом. Версии 2.10.19 и ниже имеют несогласованную обработку локали между логикой проверки URL-адреса JDBC и внутренним анализом механизма H2 JDBC. DataEase использует String.toUpperCase() без указания явного языкового стандарта, в результате чего его проверки безопасности полагаются на языковой стандарт среды выполнения JVM по умолчанию, в то время как H2 JDBC всегда нормализует URL-адреса, используя Locale.ENGLISH. В турецких языковых средах (tr_TR) Java преобразует строчную букву i в İ (заглавную с точкой I) вместо стандартного I, поэтому вредоносный параметр, такой как iNIT, становится İNIT в фильтре DataEase (в обход черного списка), в то время как H2 по-прежнему правильно интерпретирует его как INIT.
Это несоответствие позволяет злоумышленникам проносить опасные параметры JDBC мимо проверки безопасности DataEase, и было подтверждено, что проблема может быть использована в реальных сценариях развертывания DataEase, работающих с затронутыми региональными настройками. Проблема исправлена в версии 2.10.20.
Показать оригинальное описание (EN)
DataEase is an open source data visualization analysis tool. Versions 2.10.19 and below have inconsistent Locale handling between the JDBC URL validation logic and the H2 JDBC engine's internal parsing. DataEase uses String.toUpperCase() without specifying an explicit Locale, causing its security checks to rely on the JVM's default runtime locale, while H2 JDBC always normalizes URLs using Locale.ENGLISH. In Turkish locale environments (tr_TR), Java converts the lowercase letter i to İ (dotted capital I) instead of the standard I, so a malicious parameter like iNIT becomes İNIT in DataEase's filter (bypassing its blacklist) while H2 still correctly interprets it as INIT. This discrepancy allows attackers to smuggle dangerous JDBC parameters past DataEase's security validation, and the issue has been confirmed as exploitable in real DataEase deployment scenarios running under affected regional settings. The issue has been fixed in version 2.10.20.
Характеристики атаки
Последствия
Строка CVSS v4.0