CVE-2026-23958
CriticalSummary
Dataease to narzędzie do analizy wizualizacji danych typu open source. Przed wersją 2.10.19, DataEase używał hasha MD5 hasła użytkownika jako sekretu do podpisywania JWT, co umożliwiało atakującym przeprowadzenie ataku brute-force na hasło administratora poprzez wykorzystanie niemonitorowanych punktów końcowych API weryfikujących tokeny JWT.
Risk Assessment
Podatność ta stwarza ryzyko przejęcia konta administratora, co może prowadzić do nieautoryzowanego dostępu do danych i funkcji systemu. Organizacje powinny być świadome potencjalnych zagrożeń związanych z nieaktualnymi wersjami oprogramowania.
Recommendation
Zaleca się aktualizację do wersji 2.10.19 lub nowszej, aby usunąć tę podatność. Należy również monitorować punkty końcowe API w celu wykrywania nieautoryzowanych prób dostępu.
Original NVD description (English source)
Dataease is an open source data visualization analysis tool. Prior to version 2.10.19, DataEase uses the MD5 hash of the user’s password as the JWT signing secret. This deterministic secret derivation allows an attacker to brute-force the admin’s password by exploiting unmonitored API endpoints that verify JWT tokens. The vulnerability has been fixed in v2.10.19. No known workarounds are available.

