An5Er

**Nome do software vulnerável e versões afetadas** Versões do DataEase anteriores à 1.18.19 **Descrição** O DataEase é uma ferramenta de análise e visualização de dados de código aberto. Devido à falta de restrições nos parâmetros de conexão para a fonte de dados ClickHouse, é possível explorar determinados parâmetros maliciosos para obter acesso à leitura arbitrária de arquivos. **Recomendações** Para versões anteriores à 1.18.19, atualize para a versão 1.18.19 para resolver o problema. Como solução temporária, considere restringir o acesso aos parâmetros de conexão da fonte de dados ClickHouse até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do 1Panel anteriores à 1.10.3-lts **Descrição** O problema está relacionado a injeções de comandos no projeto que não são devidamente filtradas, levando à gravação arbitrária de arquivos e, por fim, à execução remota de código (RCE). O símbolo de gravação de configuração de espelho `>` pode ser usado para realizar gravações arbitrárias em arquivos. Isso pode ser explorado enviando um pacote maliciosamente criado para gravar em um arquivo arbitrário, levando potencialmente à tomada de controle do host. A vulnerabilidade pode ser explorada por meio do endpoint da API “/api/v1/containers/search/log”, permitindo que um invasor grave arquivos personalizados, como chaves SSH, e execute qualquer comando. **Recomendações** Para versões anteriores à 1.10.3-lts, atualize para a versão 1.10.3-lts para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso ao endpoint da API “/api/v1/containers/search/log” para minimizar o risco de exploração. Além disso, evite usar o símbolo de gravação de configuração de espelho `>` até que o problema seja resolvido.