Katalog CVE

CVE-2026-23958

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Dataease to narzędzie do analizy wizualizacji danych typu open source. Przed wersją 2.10.19, DataEase używał hasha MD5 hasła użytkownika jako sekretu do podpisywania JWT, co umożliwiało atakującym przeprowadzenie ataku brute-force na hasło administratora poprzez wykorzystanie niemonitorowanych punktów końcowych API weryfikujących tokeny JWT.

Ocena ryzyka

Podatność ta stwarza ryzyko przejęcia konta administratora, co może prowadzić do nieautoryzowanego dostępu do danych i funkcji systemu. Organizacje powinny być świadome potencjalnych zagrożeń związanych z nieaktualnymi wersjami oprogramowania.

Rekomendacja

Zaleca się aktualizację do wersji 2.10.19 lub nowszej, aby usunąć tę podatność. Należy również monitorować punkty końcowe API w celu wykrywania nieautoryzowanych prób dostępu.

Oryginalny opis (angielski, źródło NVD)

Dataease is an open source data visualization analysis tool. Prior to version 2.10.19, DataEase uses the MD5 hash of the user’s password as the JWT signing secret. This deterministic secret derivation allows an attacker to brute-force the admin’s password by exploiting unmonitored API endpoints that verify JWT tokens. The vulnerability has been fixed in v2.10.19. No known workarounds are available.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS