PT-2026-3770 · Dataease · Dataease
Mosesox
+1
·
Publicado
2026-01-21
·
Atualizado
2026-06-16
·
CVE-2026-23958
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do Dataease anteriores à 2.10.19
Descrição
O Dataease, uma ferramenta de análise e visualização de dados de código aberto, está suscetível a um problema de apropriação de conta. A ferramenta utiliza o hash MD5 da senha de um usuário como o segredo de assinatura JWT. Essa derivação previsível do segredo permite que um invasor execute um ataque de força bruta na senha de um administrador, explorando endpoints de API não monitorados que verificam tokens JWT.
Recomendações
Atualize para a versão 2.10.19 ou posterior.
Exploit
Correção
RCE
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dataease