Dataease H2 Database Remote Code Execution (RCE) Bypass Vulnerability 漏洞信息(CVE-2025-49002)

一、漏洞 CVE-2025-49002 基础信息

漏洞信息

                                        # Dataease H2 数据库远程代码执行（RCE）绕过漏洞

# DataEase 漏洞描述

## 概述
DataEase 是一个开源的商业智能和数据可视化工具。在 2.10.10 版本之前，存在一个与 CVE-2025-32966 补丁有关的漏洞，该漏洞可以通过大小写不敏感的方式来绕过补丁，因为 `INIT` 和 `RUNSCRIPT` 命令被禁止。

## 影响版本
- 所有低于 2.10.10 的版本

## 细节
由于 `INIT` 和 `RUNSCRIPT` 命令被禁止，但由于大小写不敏感特性，攻击者可以通过不同大小写的方式绕过这些限制。

## 影响
此漏洞已在 v2.10.10 版本中修复，目前没有已知的解决方法。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

Dataease H2 Database Remote Code Execution (RCE) Bypass Vulnerability

来源：美国国家漏洞数据库 NVD

漏洞描述信息

DataEase is an open source business intelligence and data visualization tool. Versions prior to version 2.10.10 have a flaw in the patch for CVE-2025-32966 that allow the patch to be bypassed through case insensitivity because INIT and RUNSCRIPT are prohibited. The vulnerability has been fixed in v2.10.10. No known workarounds are available.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

使用欺骗进行的认证绕过

来源：美国国家漏洞数据库 NVD

漏洞标题

DataEase 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

DataEase是DataEase开源的一个开源的数据可视化分析工具。用于帮助用户快速分析数据并洞察业务趋势，从而实现业务的改进与优化。 DataEase 2.10.10之前版本存在安全漏洞，该漏洞源于INIT和RUNSCRIPT禁止但可通过大小写不敏感绕过补丁。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2025-49002 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-49002 的情报信息

标题： H2 Database Remote Code Execution (RCE) Bypass Vulnerability · Advisory · dataease/dataease · GitHub -- 🔗来源链接

标签： x_refsource_CONFIRM
神龙速读
标题： Dataease H2 JDBC Connection Remote Code Execution · Advisory · dataease/dataease · GitHub -- 🔗来源链接

标签： x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2025-49002

四、漏洞 CVE-2025-49002 的评论

暂无评论

一、 漏洞 CVE-2025-49002 基础信息

漏洞信息

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-49002 的公开POC

三、漏洞 CVE-2025-49002 的情报信息

四、漏洞 CVE-2025-49002 的评论

发表评论

一、漏洞 CVE-2025-49002 基础信息