CVE-2025-32966
Dataease H2 JDBC Connection Remote Code Execution
Em resumo
O DataEase, uma ferramenta de inteligência de negócios, permite que usuários autenticados executem código arbitrário no servidor através de uma conexão JDBC maliciosa. Alguém com acesso de login pode assumir controle total do sistema.
Detalhe técnico
Usuários autenticados podem alcançar execução remota de código ao criar uma string de conexão JDBC maliciosa na configuração de link de banco de dados do backend. A vulnerabilidade existe em versões do DataEase anteriores à 2.10.8 e requer credenciais de autenticação válidas como pré-condição; a exploração bem-sucedida concede execução de código arbitrário no servidor com privilégios da aplicação.
Resumo gerado e traduzido por IA a partir da descrição oficial.
DataEase is an open-source BI tool alternative to Tableau. Prior to version 2.10.8, authenticated users can complete RCE through the backend JDBC link. This issue has been patched in version 2.10.8.
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P
Produtos afetados
dataease · dataeaseQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →