2023年3月9日,GitHub用户SuperXiaoxiong发现了DataEase开源数据可视化分析平台的一处漏洞,并向DataEase开源项目组进行上报。此次发现的漏洞包括:
■ DataEase中的RedShift数据源存在远程代码执行漏洞,漏洞编号为CVE-2023-28637,详情请查看:https://github.com/dataease/dataease/security/advisories/GHSA-8wg2-9gwc-5fx2。
2023年3月16日,GitHub用户hbdxmz发现了DataEase开源数据可视化分析平台的两处漏洞,并向DataEase开源项目组进行上报。此次发现的漏洞包括:
■ DataEase中上传文件接口未做权限校验导致XSS(跨站脚本攻击)的漏洞,漏洞编号为CVE-2023-28435,详情请查看:https://github.com/dataease/dataease/security/advisories/GHSA-625h-q3g9-rffc;
■ DataEase中为预防SQL注入而设置的关键字黑名单可被绕过的漏洞,漏洞编号为CVE-2023-28437,详情请查看:https://github.com/dataease/dataease/security/advisories/GHSA-7j7j-9rw6-3r56。
漏洞影响版本为:
DataEase v1.18.4及之前的版本
安全版本为:
DataEase版本>=v1.18.5版本
修复方案
升级DataEase软件至上述安全版本。
特别鸣谢
感谢来自GitHub用户SuperXiaoxiong和hbdxmz向DataEase开源社区及时反馈上述漏洞。