CVE-2024-46985

MITJÀ (7,5)

CVSS3: 6,5

El DataEase podria permetre que un atacant remot obtingués informació delicada, causada per un maneig inadequat de les declaracions d’entitats externes XML (XXE) per part de la interfície de càrrega de recursos estàtics. Mitjançant l’ús d’un contingut XML especialment dissenyat, un atacant remot podria explotar aquesta vulnerabilitat per llegir fitxers arbitraris al servidor.

Sistemes Afectats

• DataEase DataEase – 2.10.0

Remediació
Actualitzeu a la darrera versió de DataEase (2.10.1 o posterior), disponible al repositori GIT de DataEase. Vegeu-ne les Referències.

Referències

• https://github.com/dataease/dataease/security/advisories/GHSA-4m9p-7xg6-f4mm