一、 漏洞 CVE-2025-57773 基础信息
漏洞信息
# Dataease DB2 Aspectweaver 序列化任意文件写入漏洞
## 漏洞概述
DataEase 是一款开源的业务智能和数据可视化工具。在版本 2.10.12 之前,存在一个 JNDI 注入漏洞,由于未对 DB2 参数进行过滤,攻击者可利用该漏洞发起 JNDI 注入攻击。
## 影响版本
- 所有版本低于 2.10.12 的 DataEase
## 漏洞细节
- 漏洞原因:未对 DB2 数据源配置参数进行 JNDI 安全过滤。
- 利用方式:攻击者通过构造恶意参数触发 JNDI 调用。
- 攻击链影响:
- JNDI 调用可触发 AspectJWeaver 的反序列化攻击(依赖 `aspectjweaver-1.9.22.jar`)。
- 进一步可实现任意文件写入等恶意操作。
- 依赖组件:
- `commons-collections 4.x`
- `aspectjweaver-1.9.22.jar`
## 漏洞影响
- 可被利用进行远程代码执行(RCE)或服务器文件篡改。
- 实现攻击需满足特定依赖条件。
## 修复状态
- 在 2.10.12 及之后版本中已修复该漏洞。
神龙判断
是否为 Web 类漏洞: 是
判断理由:
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-57773 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | Blackash-CVE-2025-57773 | https://github.com/B1ack4sh/Blackash-CVE-2025-57773 | POC详情 |
三、漏洞 CVE-2025-57773 的情报信息
-
标题: Dataease DB2 Aspectweaver Deserialization Arbitrary File Write Vulnerability · Advisory · dataease/dataease · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
标题: fix: 【漏洞】桌面版Aspectjweaver反序列化任意文件写入漏洞 · dataease/dataease@8d04e92 · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-57773
四、漏洞 CVE-2025-57773 的评论
暂无评论