CVE-2024-46985

Versões do DataEase anteriores à 2.10.1

Existe uma vulnerabilidade de injeção de entidade externa XML na interface de upload de recursos estáticos do DataEase. Um invasor pode criar uma carga útil para realizar a detecção da intranet e a leitura de arquivos. A vulnerabilidade pode ser explorada enviando uma solicitação para o endpoint “POST /de2api/staticResource/upload/1 HTTP/1.1” com um arquivo XML malicioso. O parâmetro file pode ser usado para fazer o upload do arquivo malicioso, que pode conter uma entidade externa XML que permite ao invasor ler arquivos confidenciais. Por exemplo, o arquivo 1.svg pode conter uma entidade externa XML que faz referência a um arquivo DTD remoto, o qual pode ser usado para ler o conteúdo do arquivo /etc/alpine-release.

Para versões do DataEase anteriores à 2.10.1, atualize para a versão 2.10.1 para corrigir a vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso à interface de upload de recursos estáticos para minimizar o risco de exploração. Evite usar o parâmetro file no endpoint da API afetado até que o problema seja resolvido.