PT-2025-23671 · Dataease · Dataease
Le1Afinderph0Ebusfinder
·
Publicado
2025-06-03
·
Atualizado
2026-04-27
·
CVE-2025-49002
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
DataEase versões anteriores a 2.10.10
Descrição
O DataEase é uma ferramenta de código aberto para inteligência empresarial e visualização de dados. Existe uma falha em um patch anterior que permite que ele seja ignorado por meio de insensibilidade a maiúsculas e minúsculas, pois os termos proibidos
INIT e RUNSCRIPT não são tratados independentemente da caixa, podendo levar à execução remota de código via bypass de injeção de SQL.Recomendações
Atualize para a versão 2.10.10.
Exploit
Correção
RCE
Authentication Bypass by Spoofing
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dataease