PT-2025-34683 · Ibm+2 · Db2+3
For-A1Kaid
+2
·
Publicado
2025-08-25
·
Atualizado
2025-10-24
·
CVE-2025-57773
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas:
Versões do DataEase anteriores à 2.10.12
Descrição:
O DataEase é uma ferramenta de inteligência de negócios e visualização de dados de código aberto. Devido à filtragem insuficiente dos parâmetros do DB2, um ataque de injeção JNDI pode ser executado, desencadeando um ataque de desserialização AspectJWeaver que resulta na escrita em vários arquivos. Esta vulnerabilidade requer commons-collections 4.x e aspectjweaver-1.9.22.jar.
Recomendações:
Atualize o DataEase para a versão 2.10.12 ou posterior.
Exploit
Correção
RCE
Code Injection
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Db2
Dataease
Aspectjweaver-1.9.22.Jar
Commons-Collections