DataEase — это платформа визуализации и анализа данных с открытым исходным кодом. Версии 2.10.20 и ниже содержат уязвимость внедрения SQL в процессе обновления источника данных API. Когда новое определение таблицы добавляется во время обновления источника данных через /de2api/datasource/update, поле deTableName из предоставленной пользователем конфигурации передается в DatasourceSyncManage.createEngineTable, где оно заменяется шаблоном оператора CREATE TABLE без какой-либо очистки или экранирования идентификатора.
Злоумышленник, прошедший проверку подлинности, может внедрить произвольные команды SQL, создав deTableName, который выходит за рамки кавычек идентификатора, обеспечивая внедрение SQL на основе ошибок, которое может извлекать информацию из базы данных. Эта проблема исправлена в версии 2.10.21.
Показать оригинальное описание (EN)
DataEase is an open-source data visualization and analytics platform. Versions 2.10.20 and below contain a SQL injection vulnerability in the API datasource update process. When a new table definition is added during a datasource update via /de2api/datasource/update, the deTableName field from the user-submitted configuration is passed to DatasourceSyncManage.createEngineTable, where it is substituted into a CREATE TABLE statement template without any sanitization or identifier escaping. An authenticated attacker can inject arbitrary SQL commands by crafting a deTableName that breaks out of identifier quoting, enabling error-based SQL injection that can extract database information. This issue has been fixed in version 2.10.21.
Характеристики атаки
Последствия
Строка CVSS v4.0