概要
DataEaseはオープンソースのデータ可視化および分析プラットフォームです。バージョン2.10.20以下には、MySQLデータソース構成におけるJDBCパラメータブロックリストのバイパス脆弱性があります。MysqlクラスはLombokの@Dataアノテーションを使用しており、これによりJDBCセキュリティブロックリストを含むillegalParametersフィールドに対するパブリックセッターが自動生成されます。JSON形式でデータソース構成が送信されると、Jacksonのデシリアライズ処理が攻撃者提供の空リストを引数にsetIllegalParametersを呼び出し、getJdbc()の検証が実行される前にブロックリストを置き換えてしまいます。これにより、認証済みの攻撃者はallowLoadLocalInfile=trueのような危険なJDBCパラメータを含めることができ、データソースを悪意のあるMySQLサーバーに向けることで、LOAD DATA LOCAL INFILEプロトコル機能を悪用し、DataEaseサーバーのファイルシステム上の任意のファイルや環境変数、データベース資格情報などの機密情報を読み取ることが可能になります。この問題はバージョン2.10.21で修正されています。
技術情報
- 公開日: 2026-04-21T10:44:25+09:00
- 更新日: 2026-04-21T10:44:25+09:00
参考リンク
対処方法
該当ソフトウェアの最新版への更新、または開発元が提供する緩和策の適用を推奨します。運用環境に応じて事前検証の上で実施してください。
免責
本記事は公開情報をもとに自動集約された速報です。正確性・完全性は保証できません。必ず一次情報(上記リンク等)をご確認ください。
