2023年6月14日,GitHub用户hbdxmz发现了DataEase开源数据可视化分析平台存在数个安全漏洞,并向DataEase开源项目组进行上报。此次发现的漏洞为:
■ DataEase中的普通用户通过未授权接口漏洞可删除应用,漏洞编号为CVE-2023-34463,详情请查看:https://github.com/dataease/dataease/security/advisories/GHSA-4c4p-qfwq-85fj。
■ DataEase存在权限绕过漏洞,普通用户可以获取所有用户的相关信息,漏洞编号为CVE-2023-35168,详情请查看:https://github.com/dataease/dataease/security/advisories/GHSA-c2r2-68p6-73xv。
■ DataEase存在权限绕过漏洞,普通用户可以操作管理员创建的仪表板,漏洞编号为CVE-2023-35164,详情请查看:https://github.com/dataease/dataease/security/advisories/GHSA-grxm-fc3h-3qgj。
以上漏洞影响版本为:
DataEase v1.18.7及之前的版本
安全版本为:
DataEase版本>=v1.18.8版本
修复方案
升级DataEase软件至上述安全版本。
特别鸣谢
感谢GitHub用户hbdxmz向DataEase开源社区及时反馈上述漏洞。