重要通知丨DataEase漏洞通知及修复方案(DE-2023.06.25)

发布于 2023年06月25日

2023年6月14日,GitHub用户hbdxmz发现了DataEase开源数据可视化分析平台存在数个安全漏洞,并向DataEase开源项目组进行上报。此次发现的漏洞为:

■  DataEase中的普通用户通过未授权接口漏洞可删除应用,漏洞编号为CVE-2023-34463,详情请查看:https://github.com/dataease/dataease/security/advisories/GHSA-4c4p-qfwq-85fj

■ DataEase存在权限绕过漏洞,普通用户可以获取所有用户的相关信息,漏洞编号为CVE-2023-35168,详情请查看:https://github.com/dataease/dataease/security/advisories/GHSA-c2r2-68p6-73xv

■ DataEase存在权限绕过漏洞,普通用户可以操作管理员创建的仪表板,漏洞编号为CVE-2023-35164,详情请查看:https://github.com/dataease/dataease/security/advisories/GHSA-grxm-fc3h-3qgj

以上漏洞影响版本为:

DataEase v1.18.7及之前的版本

安全版本为:

DataEase版本>=v1.18.8版本

修复方案

升级DataEase软件至上述安全版本。

特别鸣谢

感谢GitHub用户hbdxmz向DataEase开源社区及时反馈上述漏洞。