重要通知丨DataEase漏洞通知及修复方案(DE-2023.06.02)

发布于 2023年06月02日

2023年5月11日,GitHub用户lujiefsi发现了DataEase开源数据可视化分析平台存在IDOR漏洞,并向DataEase开源项目组进行上报。此次发现的漏洞为:

■ DataEase中的API接口存在IDOR漏洞,可允许分享及删除其他用户的公共链接,漏洞编号为CVE-2023-32310,详情请查看:https://github.com/dataease/dataease/security/advisories/GHSA-7hv6-gv38-78wj

2023年5月16日,GitHub用户luelueking发现了DataEase开源数据可视化分析平台存在数据源反序列化漏洞,并向DataEase开源项目组进行上报。此次发现的漏洞为:

■ DataEase数据源存在反序列化漏洞,可允许用户执行恶意代码,漏洞编号为CVE-2023-33963,详情请查看:https://github.com/dataease/dataease/security/advisories/GHSA-m26j-gh4m-xh9f

以上漏洞影响版本为:

DataEase v1.18.6及之前的版本

安全版本为:

DataEase版本>=v1.18.7版本

修复方案

升级DataEase软件至上述安全版本。

特别鸣谢

感谢GitHub用户lujiefsi和luelueking向DataEase开源社区及时反馈上述漏洞。