CVE-2022-39312

Versões do Dataease anteriores à 1.15.2

O problema diz respeito a uma vulnerabilidade de deserialização no Dataease, especificamente na função de fonte de dados Mysql, onde os parâmetros de conexão JDBC e o servidor Mysql de destino podem ser personalizados. A classe MysqlConfiguration em backend/src/main/java/io/dataease/provider/datasource/JdbcProvider.java não filtra nenhum parâmetro, permitindo que um invasor adicione parâmetros maliciosos a uma URL JDBC e se conecte a um servidor MySQL malicioso. Isso pode acionar a vulnerabilidade de deserialização JDBC do MySQL, permitindo que o invasor execute comandos do sistema e obtenha privilégios de servidor.

Para versões anteriores à 1.15.2, atualize para a versão 1.15.2 para corrigir o problema. Como solução temporária, considere restringir o acesso à classe MysqlConfiguration ou desativar a personalização dos parâmetros de conexão JDBC para minimizar o risco de exploração. Evite usar a variável extraParams no endpoint da API afetado até que o problema seja resolvido.