CVE-2025-58046

Nome do Software Vulnerável e Versões Afetadas Versões do Dataease anteriores à 2.10.13 Versões do Dataease 2.10.12 e anteriores

Descrição O Dataease é uma plataforma de visualização e análise de dados. Versões até e incluindo a 2.10.12 estão suscetíveis à execução remota de código através da fonte de dados Impala. A filtragem insuficiente no método getJdbc da classe io.dataease.datasource.type.Impala permite que atacantes construam strings de conexão JDBC maliciosas. Isso explora a injeção JNDI e aciona a desserialização RMI, potencialmente levando à execução remota de comandos. A vulnerabilidade é explorável modificando a fonte de dados e fornecendo uma string de conexão JDBC manipulada referenciando um arquivo de configuração remoto, resultando em ataques de desserialização baseados em RMI.

Recomendações Atualize para a versão 2.10.13 ou posterior do Dataease.