Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

BDU:2025-08272

CVSS: 8.8
26.06.2025

Уязвимость системы управления базами данных (СУБД) Dataease, связанная с неправильной нейтрализацией замещающих символов, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Уязвимость системы управления базами данных (СУБД) Dataease связана с неправильной нейтрализацией замещающих символов при подключения к базам данных PostgreSQL и Redshift. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Статус уязвимости:
Подтверждена производителем
Уязвимость устранена
Дата выявления: 26.06.2025
Класс уязвимости: Уязвимость кода
Наличие эксплойта: Существует в открытом доступе
Способ эксплуатации: Манипулирование ресурсами
Способ устранения: Нет данных
Меры по устранению: Использование рекомендаций:
https://github.com/dataease/dataease/releases/tag/v2.10.11

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор Описание
CWE-153 The product receives input from an upstream component, but it does not neutralize or incorrectly neutralizes special elements that could be interpreted as substitution characters when they are sent to a downstream component.

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор Описание
CVE-2025-53006 Dataease PostgreSQL & Redshift Data Source JDBC Connection Parameters Bypass Vulnerability

CVSS

Система общей оценки уязвимостей
Оценка Severity Версия Базовый вектор
8.3 HIGH 2.0 AV:A/AC:L/Au:N/C:C/I:C/A:C
8.8 HIGH 3.0 AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2025-53006
Вендор:
  • Сообщество свободного программного обеспечения
Тип ПО:
  • СУБД
Наименование ПО:
  • Dataease
Версия ПО:
  • до 2.10.10 включительно (Dataease)
Ссылки на источники:

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.