关键信息 漏洞名称 DataEase PostgreSQL & Redshift Data Source JDBC Connection Parameters Bypass Vulnerability 影响范围 受影响版本: <= 2.10.10 修复版本: 2.10.11 漏洞描述 在PostgreSQL和Redshift数据源中,通过JDBC连接参数可以绕过某些安全检查。具体来说, 和 等参数可以在建立连接后被触发,从而绕过安全限制。 漏洞利用 可以通过构造特定的payload来绕过检查,例如: 利用步骤 1. 准备一个恶意的XML文件,包含攻击代码。 2. 使用Python脚本监听指定端口,并发送恶意请求。 3. 在DataEase中配置数据源时,使用上述payload进行连接。 修复建议 升级到2.10.11或更高版本。 如果无法立即升级,建议采取其他安全措施以防止漏洞被利用。 参考资料 DataEase官方文档 CVE-2023-28065