【漏洞处置SOP】飞致云DataEase未授权访问控制不当漏洞（CVE-2024-30269）

原创 just4fun 方桥安全漏洞防治中心 2025-05-21 10:02

01 SOP基本信息

• SOP名称：飞致云DataEase未授权访问控制不当漏洞（CVE-2024-30269）处置标准作业程序（SOP）

• 版本：
  1.0

• 发布日期：
  2025-04-09

• 作者：just4fun

• 审核人：
  T小组

• 修订记录：

• 初始版本：
  创建SOP

02 SOP的用途

本SOP旨在指导系统管理员安全、高效地处置飞致云DataEase未授权访问控制不当漏洞（CVE-2024-30269），确保在规定时间内完成漏洞修复并提交给安全部门验证，保障系统安全。

03 SOP的目标用户技能要求

• 熟悉飞致云DataEase程序的安装配置和管理

• 了解基本的系统管理和更新操作

• 具备基本的网络安全知识

04 漏洞详细信息

• 漏洞名称：
  飞致云DataEase未授权访问控制不当漏洞（CVE-2024-30269）

• CVE编号：
  CVE-2024-30269

• 漏洞类型：
  未授权访问控制不当

• 风险等级：
  中危

• CVSS评分：
  5.3

• 漏洞描述：
  DataEase是一个开源数据可视化和分析工具，在2.5.0版本之前存在数据库配置信息暴露漏洞。访问/de2api/engine/getEngine;.js通过浏览器的路径显示返回了平台的数据库配置，该漏洞已在v2.5.0中修复。

• 影响范围：
  DataEase < 2.5.0

05
漏洞处置方案

升级至当前最新安全稳定版本
DataEase 2.10.6
（
2025年3月发布）。

【注意事项】

• 在应用补丁或升级版本之前，请确保进行充分的备份。

• 遵循官方提供的安装和配置指南进行操作。

• 在生产环境中升级前，最好在测试环境中先进行测试。

• 修复漏洞前进行充分测试，以确保系统稳定性和安全性。

• 不同版本系列尽量升级到本系列版本无漏洞的版本，尽量不要版本跨度太大，避免出现一些不兼容情况。

06 漏洞修补详细步骤

1. 识别漏洞：确认当前版本和配置存在漏洞（使用POC辅助验证）

以Ubuntu 20.04为例，IP地址为192.168.128.144，安装的DataEase 版本为2.4.0。

首先检查是否安装了漏洞版本。打开命令行，输入以下命令可显示版本号。

dectl version
dectl version

结果显示当前环境安装版本是2.4.0，为漏洞版本。

接下来使用POC进行辅助漏洞验证，使用浏览器访问
http://192.168.128.144:8100/de2api/engine/getEngine;.js
，页面返回了配置敏感信息（例如username、password等），验证漏洞存在。

2. 实施修复：目标是安装DataEase 的 安全版本2.10.6。

首先进行备份数据，Shell中执行以下命令。

sudo dectl stop  # 停止服务# 打包安装目录，默认 /opt/dataease2.0cd /opt sudo tar -cf dataease2.0.bak.tar dataease2.0/
sudo dectl stop  # 停止服务
# 打包安装目录，默认 /opt/dataease2.0
cd /opt 
sudo tar -cf dataease2.0.bak.tar dataease2.0/

方式1：在线升级（需要具备互联网）。

打开命令行，切换到老版本安装目录，输入以下命令进行在线升级。

sudo dectl upgrade
sudo dectl upgrade

注：由于网络原因，无法访问github.com的情况下会升级失败，选择离线升级的方式。

方式2：离线升级。

首先卸载旧版本。打开命令行，切换到老版本安装目录，输入以下命令进行卸载。

sudo ./uninstall.sh
sudo ./uninstall.sh

以社区版为例，到官网下载当前最新的版本2.10.6的安装包（https://community.fit2cloud.com/#/products/dataease/downloads），下载之后的文件为dataease-offline-installer-v2.10.6-ce.tar.gz，将其放置到待修复的环境中。

执行如下命令进行解压缩与安装：

tar zxvf dataease-offline-installer-v2.10.6-ce.tar.gz sudo /bin/bash install.sh
tar zxvf dataease-offline-installer-v2.10.6-ce.tar.gz 
sudo /bin/bash install.sh

3. 验证修复：查看当前版本是否为安全版本

打开命令行，输入以下命令可显示版本号。

dectl version
dectl version

结果显示当前环境安装版本是2.10.6，为安全版本。

接下来使用POC进行辅助漏洞验证，使用浏览器访问
http://192.168.128.144:8100/de2api/engine/getEngine;.js
，页面未返回敏感信息，证明漏洞已修复。

4.参考链接：

[1] 
https://dataease.io/docs/v2/installation/offline_INSTL_and_UPG/#41

[2] 
https://nvd.nist.gov/vuln/detail/CVE-2024-30269

• End –

欢迎投稿或扫码添加运营助手获取附件

▽

欢迎关注公众号

▽