2025年5月和6月,有用户反馈发现DataEase开源BI工具存在安全漏洞,并向DataEase开源项目组进行上报。此次发现的漏洞为:
■ DataEase H2数据源存在远程代码执行漏洞,CVE编号为CVE-2025-49003。漏洞详情:https://github.com/dataease/dataease/security/advisories/GHSA-x97w-69ff-r55q。
■ DataEase Redshift数据源JDBC参数存在绕过漏洞,CVE编号为CVE-2025-53004。漏洞详情:https://github.com/dataease/dataease/security/advisories/GHSA-mfg2-qr5c-99pp。
■ DataEase PostgreSQL数据源JDBC参数存在绕过漏洞,CVE编号为CVE-2025-53005。漏洞详情:https://github.com/dataease/dataease/security/advisories/GHSA-99c4-h4fq-r23v。
■ DataEase PostgreSQL和Redshift数据源JDBC参数存在绕过漏洞,CVE编号为CVE-2025-53006。漏洞详情:https://github.com/dataease/dataease/security/advisories/GHSA-q726-5pr9-x7gm。
以上漏洞影响版本为:
DataEase v2.10.11之前的版本
安全版本为:
DataEase版本>=v2.10.11版本
注:DataEase v2.10.11版本已经于2025年6月26日发布。
修复方案
升级DataEase软件至上述安全版本。
特别鸣谢
感谢Java-Chains Team和以下社区用户向DataEase开源社区及时反馈上述漏洞。
■ CVE-2025-49003:@Fushuling @Lych1e1
■ CVE-2025-53004:@Le1a @for-A1kaid
■ CVE-2025-53005:@Le1a @for-A1kaid @Z1Tanuki
■ CVE-2025-53006:@unam4