Dataease arbitrary interface access vulnerability 漏洞信息(CVE-2024-47073)

一、漏洞 CVE-2024-47073 基础信息

漏洞标题

Dataease任意接口访问漏洞

来源：AIGC 神龙大模型

漏洞描述信息

DataEase是一款开源的数据可视化分析工具，帮助用户快速分析数据并洞察业务趋势。在受影响版本中，由于JWT令牌缺乏签名验证，攻击者可以伪造JWT令牌，从而访问任何接口。该漏洞在v2.10.2版本中已被修复，建议所有用户进行升级。目前没有已知的解决方法。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

来源：AIGC 神龙大模型

漏洞类别

密码学签名的验证不恰当

来源：AIGC 神龙大模型

漏洞标题

Dataease arbitrary interface access vulnerability

来源：美国国家漏洞数据库 NVD

漏洞描述信息

DataEase is an open source data visualization analysis tool that helps users quickly analyze data and gain insights into business trends. In affected versions a the lack of signature verification of jwt tokens allows attackers to forge jwts which then allow access to any interface. The vulnerability has been fixed in v2.10.2 and all users are advised to upgrade. There are no known workarounds for this vulnerability.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

密码学签名的验证不恰当

来源：美国国家漏洞数据库 NVD

漏洞标题

DataEase 数据伪造问题漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

DataEase是DataEase开源的一个开源的数据可视化分析工具。用于帮助用户快速分析数据并洞察业务趋势，从而实现业务的改进与优化。 DataEase v2.10.2版本之前存在数据伪造问题漏洞，该漏洞源于jwt token签名验证缺失。攻击者利用该漏洞可以伪造jwts并允许访问任意接口。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

授权问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-47073 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-47073 的情报信息

标题： Dataease has arbitrary interface access vulnerability · Advisory · dataease/dataease · GitHub -- 🔗来源链接

标签： x_refsource_CONFIRM
神龙速读
https://nvd.nist.gov/vuln/detail/CVE-2024-47073

一、 漏洞 CVE-2024-47073 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-47073 的公开POC

三、漏洞 CVE-2024-47073 的情报信息

一、漏洞 CVE-2024-47073 基础信息