2023年9月21日,GitHub用户Devotes发现了DataEase开源数据可视化分析平台存在安全漏洞,并向DataEase开源项目组进行上报。此次发现的漏洞为:
■ DataEase存在可获取用户Cookie的漏洞,漏洞编号为CVE-2023-40183,详情请查看:https://github.com/dataease/dataease/security/advisories/GHSA-w2r4-2r4w-fjxv;
■ DataEase存在可绕过黑名单的SQL注入漏洞,漏洞编号为CVE-2023-40771,详情请查看:https://github.com/dataease/dataease/security/advisories/GHSA-x2j5-23w6-5282;
■ DataEase存在任意文件查看漏洞,漏洞编号为CVE-2023-40772,详情请查看:https://github.com/dataease/dataease/security/advisories/GHSA-98rx-qxp8-7x65。
以上漏洞影响版本为:
DataEase v1.18.10及之前的版本
安全版本为:
DataEase版本>=v1.18.11版本
修复方案
升级DataEase软件至上述安全版本。
特别鸣谢
感谢GitHub用户Devotes向DataEase开源社区及时反馈上述漏洞。