Gsbp0

**Nome do Software Vulnerável e Versões Afetadas** Versões do Dataease anteriores à 2.10.13 Versões do Dataease 2.10.12 e anteriores **Descrição** O Dataease é uma plataforma de visualização e análise de dados. Versões até e incluindo a 2.10.12 estão suscetíveis à execução remota de código através da fonte de dados Impala. A filtragem insuficiente no método `getJdbc` da classe `io.dataease.datasource.type.Impala` permite que atacantes construam strings de conexão JDBC maliciosas. Isso explora a injeção JNDI e aciona a desserialização RMI, potencialmente levando à execução remota de comandos. A vulnerabilidade é explorável modificando a fonte de dados e fornecendo uma string de conexão JDBC manipulada referenciando um arquivo de configuração remoto, resultando em ataques de desserialização baseados em RMI. **Recomendações** Atualize para a versão 2.10.13 ou posterior do Dataease.