【漏洞预警】DataEase 远程代码执行漏洞(CVE-2025-49002)
【漏洞预警】DataEase 远程代码执行漏洞(CVE-2025-49002)
原创 聚焦网络安全情报 安全聚 2025-06-05 11:29
严
重
公
告
近日,安全聚实验室监测到 DataEase 存在远程代码执行漏洞 ,编号为:CVE-2025-49002,CVSS:9.8 攻击者通过H2数据库的JDBC接口利用大小写绕过安全补丁(CVE-2025-32966),导致远程代码执行。
01 漏洞描述
VULNERABILITY DESC.
DataEase是一款数据库管理软件,旨在帮助用户轻松地创建和管理数据库应用程序。该软件提供了直观的界面和强大的功能,使用户能够快速设计数据库结构、建立关系、定义数据输入和输出格式,并生成相应的应用程序代码。该漏洞是由于H2数据库JDBC驱动在SQL解析时对标识符大小写校验不严格的缺陷,成功绕过了针对SQL注入的安全补丁防护机制。攻击者可以结合CVE-2025-49001漏洞,通过精心构造的恶意请求伪造有效的JWT身份认证令牌,从而绕过系统的身份验证,通过特制的数据库查询语句实现任意代码注入,最终导致权限提升,对系统安全构成严重威胁。
02 影响范围
IMPACT SCOPE
DataEase <= 2.10.8
03 安全措施
SECURITY MEASURES
目前厂商已发布可更新版本,建议用户尽快更新至
DataEase
产品的修复版本或更高的版本:
DataEase >= 2.10.10
下载链接:
https://github.com/dataease/dataease/releases/tag/v2.10.10
04 参考链接
REFERENCE LINK
1.https://github.com/dataease/dataease/security/advisories/GHSA-999m-jv2p-5h34
05 技术支持
TECHNICAL SUPPORT
长按识别二维码,关注 “安全聚”
公众号!如有任何问题或需要帮助,随时联系我们的技术支持团队。
联系我们
微信号:SecGat
关注安全聚,获取更多精彩文章。
END
HISTORY
/
往期推荐
【漏洞库支撑单位】成为CNNVD漏洞库支撑单位,助力网络安全!申请全流程解读,专业团队助您高效通过
【漏洞预警 | 已复现】Vite 任意文件读取漏洞(CVE-2025-31486)
【漏洞预警 | 已复现】Windows TCP/IP 远程执行代码漏洞(CVE-2024-38063)