PT-2025-11211 · Dataease · Dataease

N1Etzsche0

·

Publicado

2025-03-13

·

Atualizado

2025-06-03

·

CVE-2025-27103

CVSS v4.0

8.6

Alta

VetorAV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas: Versões do DataEase anteriores à 2.10.6
Descrição: O DataEase é uma ferramenta de inteligência de negócios e visualização de dados de código aberto. Uma vulnerabilidade de bypass de patch permite que usuários autenticados leiam e desserializem arquivos arbitrários por meio da conexão JDBC em segundo plano.
Recomendações: Para versões anteriores à 2.10.6, atualize para a versão 2.10.6 para resolver o problema. Como solução de contorno temporária, considere restringir o acesso à conexão JDBC em segundo plano até que a atualização seja aplicada.

Exploit

Correção

Missing Authorization

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-862CWE-89

Identificadores relacionados

CVE-2025-27103
GHSA-V4GG-8RP3-CCJX

Produtos afetados

Dataease