重要通知丨DataEase漏洞通知及修复方案(DE-2023.03.24)

发布于 2023年03月24日

2023年3月9日,GitHub用户SuperXiaoxiong发现了DataEase开源数据可视化分析平台的一处漏洞,并向DataEase开源项目组进行上报。此次发现的漏洞包括:

DataEase中的RedShift数据源存在远程代码执行漏洞,漏洞编号为CVE-2023-28637,详情请查看:https://github.com/dataease/dataease/security/advisories/GHSA-8wg2-9gwc-5fx2

2023年3月16日,GitHub用户hbdxmz发现了DataEase开源数据可视化分析平台的两处漏洞,并向DataEase开源项目组进行上报。此次发现的漏洞包括:

DataEase中上传文件接口未做权限校验导致XSS(跨站脚本攻击)的漏洞,漏洞编号为CVE-2023-28435,详情请查看:https://github.com/dataease/dataease/security/advisories/GHSA-625h-q3g9-rffc

DataEase中为预防SQL注入而设置的关键字黑名单可被绕过的漏洞,漏洞编号为CVE-2023-28437,详情请查看:https://github.com/dataease/dataease/security/advisories/GHSA-7j7j-9rw6-3r56

漏洞影响版本为:

DataEase v1.18.4及之前的版本

安全版本为:

DataEase版本>=v1.18.5版本

修复方案

升级DataEase软件至上述安全版本。

特别鸣谢

感谢来自GitHub用户SuperXiaoxiong和hbdxmz向DataEase开源社区及时反馈上述漏洞。