CVE-2025-32966
Dataease H2 JDBC Connection Remote Code Execution
En resumen
DataEase, una herramienta de inteligencia empresarial, permite que usuarios autenticados ejecuten código arbitrario en el servidor a través de una conexión JDBC maliciosa. Alguien con acceso de inicio de sesión puede tomar control total del sistema.
Detalle técnico
Los usuarios autenticados pueden lograr ejecución remota de código al elaborar una cadena de conexión JDBC maliciosa en la configuración del enlace de base de datos backend. La vulnerabilidad existe en versiones de DataEase anteriores a 2.10.8 y requiere credenciales de autenticación válidas como precondición; la explotación exitosa otorga ejecución de código arbitrario en el servidor con privilegios de la aplicación.
Resumen generado y traducido por IA a partir de la descripción oficial.
DataEase is an open-source BI tool alternative to Tableau. Prior to version 2.10.8, authenticated users can complete RCE through the backend JDBC link. This issue has been patched in version 2.10.8.
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P
Productos afectados
dataease · dataease¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →