CVE-2025-62420

Nome do Software Vulnerável e Versões Afetadas Versões do DataEase até 2.10.13

Descrição O DataEase é uma plataforma de visualização e análise de dados. Existe uma vulnerabilidade de bypass de driver JDBC no manipulador de conexão do banco de dados H2. A função getJdbc em H2.java verifica se o jdbcUrl começa com jdbc:h2, mas utiliza um campo jdbc separado como a URL de conexão real. Um atacante pode fornecer um jdbcUrl iniciando com jdbc:h2 enquanto fornece um campo jdbc diferente com um driver JDBC arbitrário e string de conexão. Isso permite que um atacante autenticado acione conexões JDBC arbitrárias com drivers maliciosos, potencialmente levando à execução remota de código.

Recomendações Atualize para a versão 2.10.14 ou posterior do DataEase.