CRITICAL🇬🇧 English

CVE-2024-57707

RCE w DataEase v1 poprzez komponenty konta użytkownika i hasła

CVSS 9.8v3.1pub. 2025-02-07upd. 2025-03-28

Podatność w aplikacji DataEase v1 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu (RCE) poprzez komponenty logowania — pole nazwy użytkownika oraz hasła. Krytyczny poziom CVSS 9.8 oznacza możliwość pełnego przejęcia kontroli nad systemem bez jakiejkolwiek autoryzacji.

Pokaż oryginał (EN)

An issue in DataEase v1 allows an attacker to execute arbitrary code via the user account and password components.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-94 (Code Injection) wskazuje na niewystarczającą walidację danych wejściowych w komponentach obsługujących konto użytkownika i hasło. Atakujący może dostarczyć specjalnie spreparowane dane wejściowe, które zostaną zinterpretowane i wykonane przez aplikację jako kod. Atak nie wymaga uwierzytelnienia, interakcji ze strony użytkownika ani szczególnych warunków sieciowych (wektor sieciowy, niska złożoność).

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na wykonanie dowolnego kodu na serwerze hostującym DataEase, co może prowadzić do pełnego przejęcia systemu, wycieku danych, modyfikacji lub zniszczenia zasobów.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu do interfejsu DataEase wyłącznie do zaufanych sieci (firewall, VPN) do czasu wdrożenia aktualizacji.

Kogo dotyczy

DataEase w wersji 1 (v1) — dokładne wersje wskazane w referencjach producenta

Uwagi

Publiczny opis techniczny podatności dostępny jest w repozytorium GitHub pod adresem: https://github.com/shigophilo/CVE/blob/main/DataEase-v1-code-execute.md

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Dataease

    APP
    Dataease
    1.0.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-32140CRITICAL9.3PL ✓ten sam produkt

Dataease: RCE poprzez path traversal w parametrze IniFile sterownika JDBC

CVE-2026-32137CRITICAL9.3PL ✓ten sam produkt

SQL Injection w Dataease — niekontrolowany parametr tabeli w podglądzie danych

CVE-2024-56511CRITICAL9.3PL ✓ten sam produkt

DataEase – obejście uwierzytelnienia przez path traversal w TokenFilter

CVE-2024-52295CRITICAL9.3PL ✓ten sam produkt

DataEase: hardkodowany sekret JWT umożliwia przejęcie usługi

CVE-2024-47073CRITICAL9.3PL ✓ten sam produkt

DataEase: brak weryfikacji podpisu JWT umożliwia dostęp do dowolnego interfejsu

CVE-2024-57707 — RCE w DataEase v1 poprzez komponenty konta użytkownika i hasła — CRITICAL 9.8 | CVEbaza.pl