2023年5月11日,GitHub用户lujiefsi发现了DataEase开源数据可视化分析平台存在IDOR漏洞,并向DataEase开源项目组进行上报。此次发现的漏洞为:
■ DataEase中的API接口存在IDOR漏洞,可允许分享及删除其他用户的公共链接,漏洞编号为CVE-2023-32310,详情请查看:https://github.com/dataease/dataease/security/advisories/GHSA-7hv6-gv38-78wj。
2023年5月16日,GitHub用户luelueking发现了DataEase开源数据可视化分析平台存在数据源反序列化漏洞,并向DataEase开源项目组进行上报。此次发现的漏洞为:
■ DataEase数据源存在反序列化漏洞,可允许用户执行恶意代码,漏洞编号为CVE-2023-33963,详情请查看:https://github.com/dataease/dataease/security/advisories/GHSA-m26j-gh4m-xh9f。
以上漏洞影响版本为:
DataEase v1.18.6及之前的版本
安全版本为:
DataEase版本>=v1.18.7版本
修复方案
升级DataEase软件至上述安全版本。
特别鸣谢
感谢GitHub用户lujiefsi和luelueking向DataEase开源社区及时反馈上述漏洞。