Jilinxiangyun-Lab

**Nome do Software Vulnerável e Versões Afetadas** Versões do Dataease anteriores a 2.10.13 **Descrição** O Dataease é uma plataforma de análise de dados e visualização de código aberto. A implementação da fonte de dados H2 (H2.java) carece de validação para garantir que uma URL JDBC fornecida comece com `jdbc:h2`. Isso permite que uma configuração JDBC elaborada substitua o driver do Amazon Redshift e utilize os parâmetros `socketFactory` e `socketFactoryArg` para invocar `org.springframework.context.support.FileSystemXmlApplicationContext` ou `ClassPathXmlApplicationContext` com um recurso XML remoto controlado por um atacante, potencialmente levando à execução remota de código. **Recomendações** Atualize o Dataease para a versão 2.10.13 ou posterior.