2025年4月和5月,有用户反馈发现DataEase开源BI工具存在安全漏洞,并向DataEase开源项目组进行上报。此次发现的漏洞为:
■ DataEase H2数据源存在远程代码执行漏洞,CVE编号为CVE-2025-49002。漏洞详情:https://github.com/dataease/dataease/security/advisories/GHSA-999m-jv2p-5h34。
■ DataEase存在鉴权绕过漏洞,CVE编号为CVE-2025-49001。漏洞详情:https://github.com/dataease/dataease/security/advisories/GHSA-xx2m-gmwg-mf3r。
■ DataEase Redshift数据源存在远程代码执行漏洞,CVE编号为CVE-2025-48999。漏洞详情:https://github.com/dataease/dataease/security/advisories/GHSA-6pq2-6q8x-mp2r。
■ DataEase MySQL数据源存在文件读取漏洞,CVE编号为CVE-2025-48998。漏洞详情:https://github.com/dataease/dataease/security/advisories/GHSA-2wfc-qwx7-w692。
■ DataEase Redshift数据源存在远程代码执行漏洞,CVE编号为CVE-2025-46566。漏洞详情:https://github.com/dataease/dataease/security/advisories/GHSA-hxw4-vpfp-frgv。
■ DataEase H2数据源存在远程代码执行漏洞,CVE编号为CVE-2025-32966。漏洞详情:https://github.com/dataease/dataease/security/advisories/GHSA-h7hj-4j78-cvc7。
以上漏洞影响版本为:
DataEase v2.10.10之前的版本
安全版本为:
DataEase版本>=v2.10.10版本
注:DataEase v2.10.10版本已经于2025年5月30日发布。
修复方案
升级DataEase软件至上述安全版本。
特别鸣谢
感谢以下社区用户向DataEase开源社区及时反馈上述漏洞。
■ CVE-2025-49002:@Le1a @ph0ebus
■ CVE-2025-49001:@Le1a @ph0ebus
■ CVE-2025-48999:@Le1a @ph0ebus
■ CVE-2025-48998:@ph0ebus
■ CVE-2025-46566:@h3h3qaq @Drun1baby @hack-umbrella
■ CVE-2025-32966:@N1etzsche0 @Fushuling @Esonhugh