目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

CVE-2026-50030— DataEase 预览路径任意SQL执行导致数据泄露漏洞

AI 预测 6.5 利用难度: 较易 EPSS 0.03% · P8

影响版本矩阵 1

厂商产品版本范围状态
dataeasedataease< 2.10.23affected
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2026-50030 基础信息

漏洞信息

对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
DataEase: Arbitrary SQL execution in preview path (direct data disclosure)
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
DataEase is an open source data visualization and analysis tool. Prior to 2.10.23, DataEase SQL preview exposes DatasetDataApi.previewSql/previewSqlCheck through /de2api/datasetData/previewSql, accepts PreviewSqlDTO.sql, PreviewSqlDTO.datasourceId, and PreviewSqlDTO.isCross, then DatasetDataManage.previewSql stores decoded SQL in datasourceRequest.query and CalciteProvider.fetchResultField executes it with prepareStatement(...).executeQuery(), allowing arbitrary readable datasource tables to be queried and returned in preview responses. This issue is fixed in version 2.10.23.
来源: 美国国家漏洞数据库 NVD
CVSS Information
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源: 美国国家漏洞数据库 NVD

受影响产品

厂商产品影响版本CPE订阅
dataeasedataease < 2.10.23 -

二、漏洞 CVE-2026-50030 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-50030 的情报信息

登录查看更多情报信息。

CVE-2026-50030 补丁与修复 (1)

CVE-2026-50030 厂商安全公告 (1)

CVE-2026-50030 厂商页面 (1)

同批安全公告 · dataease · 2026-07-15 · 共 10 条

CVE-2026-45419DataEase 任意文件写入漏洞
CVE-2026-45417DataEase SQL注入漏洞
CVE-2026-45320DataEase 数据大屏 SqlVariable 未过滤 SQL 注入漏洞
CVE-2026-45535DataEase 存储型SQL注入漏洞
CVE-2026-45534DataEase 远程代码执行漏洞
CVE-2026-45533DataEase 路径遍历漏洞
CVE-2026-50124DataEase 通过Zip协议及文件投递实现远程代码执行漏洞
CVE-2026-46684DataEase 未授权命令执行漏洞
CVE-2026-49867DataEase 模板静态资源存储型XSS漏洞

IV. Related Vulnerabilities

V. Comments for CVE-2026-50030

暂无评论


发表评论