CVE-2025-58748

Nome do Software Vulnerável e Versões Afetadas Versões do Dataease anteriores a 2.10.13

Descrição O Dataease é uma plataforma de análise de dados e visualização de código aberto. A implementação da fonte de dados H2 (H2.java) carece de validação para garantir que uma URL JDBC fornecida comece com jdbc:h2. Isso permite que uma configuração JDBC elaborada substitua o driver do Amazon Redshift e utilize os parâmetros socketFactory e socketFactoryArg para invocar org.springframework.context.support.FileSystemXmlApplicationContext ou ClassPathXmlApplicationContext com um recurso XML remoto controlado por um atacante, potencialmente levando à execução remota de código.

Recomendações Atualize o Dataease para a versão 2.10.13 ou posterior.