PT-2025-37719 · Dataease+1 · Dataease+1
Fit2Cloudrd
·
Publicado
2025-09-15
·
Atualizado
2025-10-24
·
CVE-2025-58045
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do Dataease até 2.10.12
Descrição
O Dataease é uma plataforma de análise e visualização de dados de código aberto. Uma correção destinada a mitigar ataques de execução remota de código via desserialização DB2 JDBC apenas adicionou o parâmetro
rmi à lista de bloqueio. O parâmetro ldap na string de conexão DB2 JDBC não foi filtrado, permitindo que invasores explorassem a string de conexão DB2 JDBC para desencadear falsificação de solicitação do lado do servidor (SSRF). Embora versões mais recentes do Java desabilitem a desserialização ldap por padrão, impedindo a execução remota de código, o SSRF permanece explorável.Recomendações
Atualize para a versão 2.10.13 ou posterior.
Exploit
Correção
RCE
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Db2 Jdbc
Dataease