PT-2025-23658 · Dataease · Dataease

Ph0Ebus

·

Publicado

2025-06-03

·

Atualizado

2025-06-03

·

CVE-2025-48998

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Versões do DataEase anteriores à 2.10.10 Versões do DataEase de 2.10.6 a 2.10.9
Descrição A falha permite que usuários autenticados leiam e desserializem arquivos arbitrários por meio da conexão JDBC em segundo plano devido a um bypass de um patch anterior.
Recomendações Para versões anteriores à 2.10.10, atualize para a versão 2.10.10 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à conexão JDBC em segundo plano até que um patch esteja disponível.

Exploit

Correção

Missing Authorization

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-862CWE-89

Identificadores relacionados

CVE-2025-48998
GHSA-2WFC-QWX7-W692
GHSA-V4GG-8RP3-CCJX

Produtos afetados

Dataease