漏洞描述
DataEase是DataEase开源的一个开源的数据可视化分析工具。用于帮助用户快速分析数据并洞察业务趋势,从而实现业务的改进与优化。 DataEase 2.10.10之前版本存在授权问题漏洞,该漏洞源于密钥验证未成功生效,可能导致用户使用任意密钥伪造JWT令牌。
漏洞危害
鉴权绕过漏洞可能导致攻击者获取敏感信息,如用户数据、商业机密等;对系统数据进行未授权的修改或删除;执行恶意操作,如安装后门、发起进一步的网络攻击;甚至可能导致整个系统或网络的瘫痪。
修复方法
DataEase 官方已发布修复版本,请尽快升级至 2.10.10 及以上版本。
下载地址:https://github.com/dataease/dataease/releases/tag/v2.10.10
评分维度
长亭安全产品覆盖情况
漏洞时间线
漏洞披露
2025-06-04
漏洞信息更新
2025-06-05