重要通知丨DataEase漏洞通知及修复方案(DE-2023.07.24)

发布于 2023年07月24日

2023年7月3日,GitHub用户useafter发现了DataEase开源数据可视化分析平台存在安全漏洞,并向DataEase开源项目组进行上报。此次发现的漏洞为:

DataEase存在SQL注入漏洞,漏洞编号为CVE-2023-37258,详情请查看:https://github.com/dataease/dataease/security/advisories/GHSA-r39x-fcc6-47g4

2023年7月5日,GitHub用户5uper8ean发现了DataEase开源数据可视化分析平台存在安全漏洞,并向DataEase开源项目组进行上报。此次发现的漏洞为:

DataEase存在存储型XSS漏洞,漏洞编号为CVE-2023-37257,详情请查看:https://github.com/dataease/dataease/security/advisories/GHSA-7cm3-9pp6-q2fq

以上漏洞影响版本为:

DataEase v1.18.8及之前的版本

安全版本为:

DataEase版本>=v1.18.9版本

修复方案

升级DataEase软件至上述安全版本。

特别鸣谢

感谢GitHub用户useafter和5uper8ean向DataEase开源社区及时反馈上述漏洞。