一、 漏洞 CVE-2024-46985 基础信息
漏洞标题
DataEase存在XML外部实体注入漏洞
来源:AIGC 神龙大模型
漏洞描述信息
DataEase 是一款开源数据可视化分析工具。在 2.10.1 版本之前,DataEase 的静态资源上传接口中存在一个 XML 外部实体注入漏洞。攻击者可以构造载荷实现内网探测和文件读取。该漏洞已在 2.10.1 版本中修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
XML外部实体引用的不恰当限制(XXE)
来源:AIGC 神龙大模型
漏洞标题
DataEase has an XXE vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
DataEase is an open source data visualization analysis tool. Prior to version 2.10.1, there is an XML external entity injection vulnerability in the static resource upload interface of DataEase. An attacker can construct a payload to implement intranet detection and file reading. The vulnerability has been fixed in v2.10.1.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
XML外部实体引用的不恰当限制(XXE)
来源:美国国家漏洞数据库 NVD
漏洞标题
DataEase 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
DataEase是DataEase开源的一个开源的数据可视化分析工具。用于帮助用户快速分析数据并洞察业务趋势,从而实现业务的改进与优化。 DataEase 2.10.1版本之前存在代码问题漏洞,该漏洞源于DataEase的静态资源上传接口存在XML外部实体注入漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-46985 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-46985 的情报信息
-
标题: DataEase has an XXE vulnerability · Advisory · dataease/dataease · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2024-46985