一、 漏洞 CVE-2025-62419 基础信息
漏洞信息
                                        # DataEase DB2/MongoDB JDBC注入漏洞

## 概述

DataEase 是一个数据可视化和分析平台。在版本 2.10.13 及之前版本中,DB2 和 MongoDB 数据源配置处理模块存在 JDBC URL 注入漏洞。

## 影响版本

- DataEase ≤ 2.10.13

## 漏洞细节

在 DB2 数据源配置处理中,当 `extraParams` 字段为空时,程序会将 `HOSTNAME`、`PORT` 和 `DATABASE` 值直接拼接到 JDBC URL 中,未对输入进行非法参数过滤。攻击者可利用该逻辑,在 `HOSTNAME` 字段中注入恶意 JDBC 字符串。

此漏洞允许绕过此前修复的 CVE-2025-57773 和 CVE-2025-58045 漏洞的防护措施。

## 影响

攻击者可利用该漏洞进行 JDBC URL 注入,可能导致远程代码执行、数据泄露或其他未授权操作,危害系统安全性。

## 修复版本

- DataEase 2.10.14 及以上版本已修复该漏洞。

## 建议

尽快升级至 2.10.14 或更高版本。无已知临时缓解方案。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
DataEase vulnerable to JDBC URL injection in DB2 and MongoDB data source configuration
来源:美国国家漏洞数据库 NVD
漏洞描述信息
DataEase is a data visualization and analytics platform. In DataEase versions through 2.10.13, a JDBC URL injection vulnerability exists in the DB2 and MongoDB data source configuration handlers. In the DB2 data source handler, when the extraParams field is empty, the HOSTNAME, PORT, and DATABASE values are directly concatenated into the JDBC URL without filtering illegal parameters. This allows an attacker to inject a malicious JDBC string into the HOSTNAME field to bypass previously patched vulnerabilities CVE-2025-57773 and CVE-2025-58045. The vulnerability is fixed in version 2.10.14. No known workarounds exist.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
可信数据的反序列化
来源:美国国家漏洞数据库 NVD
漏洞标题
DataEase 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
DataEase是DataEase开源的一个开源的数据可视化分析工具。用于帮助用户快速分析数据并洞察业务趋势,从而实现业务的改进与优化。 DataEase 2.10.13及之前版本存在代码问题漏洞,该漏洞源于DB2数据源处理程序中HOSTNAME、PORT和DATABASE值直接拼接成JDBC URL而未过滤非法参数,可能导致JDBC URL注入攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-62419 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-62419 的情报信息
四、漏洞 CVE-2025-62419 的评论

暂无评论

发表评论