DataEase — это платформа визуализации и анализа данных с открытым исходным кодом. Версии 2.10.20 и ниже содержат устаревший файлскорость-1.7.jar, который использует commons-collections-3.2.1.jar, содержащий цепочку гаджетов десериализации InvokerTransformer. Quartz 2.3.2, также включенный в приложение, десериализует BLOB-объекты данных задания из таблицы qrtz_job_details с помощью ObjectInputStream без фильтра десериализации или списка разрешенных классов.
Аутентифицированный злоумышленник, который может выполнять запись в таблицу заданий Quartz, например, с помощью ранее описанной SQL-инъекции в предварительном просмотре Sql, может заменить JOB_DATA запланированного задания вредоносной полезной нагрузкой цепочки гаджетов CommonsCollections6. Когда срабатывает триггер Quartz cron, полезная нагрузка десериализуется и выполняет произвольные команды от имени пользователя root внутри контейнера, обеспечивая полное удаленное выполнение кода. Эта проблема исправлена в версии 2.10.21.
Показать оригинальное описание (EN)
DataEase is an open-source data visualization and analytics platform. Versions 2.10.20 and below ship the legacy velocity-1.7.jar, which pulls in commons-collections-3.2.1.jar containing the InvokerTransformer deserialization gadget chain. Quartz 2.3.2, also bundled in the application, deserializes job data BLOBs from the qrtz_job_details table using ObjectInputStream with no deserialization filter or class allowlist. An authenticated attacker who can write to the Quartz job table, such as through the previously described SQL injection in previewSql, can replace a scheduled job's JOB_DATA with a malicious CommonsCollections6 gadget chain payload. When the Quartz cron trigger fires, the payload is deserialized and executes arbitrary commands as root inside the container, achieving full remote code execution. This issue has been fixed in version 2.10.21.
Характеристики атаки
Последствия
Строка CVSS v4.0