CVE-2025-62421

Nome do Software Vulnerável e Versões Afetadas Versões do DataEase até a 2.10.13

Descrição O DataEase é uma plataforma de visualização e análise de dados. Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado devido à validação inadequada de upload de arquivos e bypass de autenticação. A rota upload/{fileId} dentro da interface StaticResourceApi permite que os usuários controlem o nome do arquivo e a extensão dos arquivos enviados. O método WhitelistUtils#match considera incorretamente URLs terminadas com extensões como .js como seguras, contornando as verificações de permissão. Isso permite que atacantes façam upload de arquivos HTML contendo JavaScript malicioso especificando extensões de arquivo arbitrárias, como ao acessar "upload/1.js". O TokenFilter está envolvido no processo de validação de permissão.

Recomendações Atualize para a versão 2.10.14 ou posterior.