CVE-2026-23958
KrytyczneStreszczenie
Dataease to narzędzie do analizy wizualizacji danych typu open source. Przed wersją 2.10.19, DataEase używał hasha MD5 hasła użytkownika jako sekretu do podpisywania JWT, co umożliwiało atakującym przeprowadzenie ataku brute-force na hasło administratora poprzez wykorzystanie niemonitorowanych punktów końcowych API weryfikujących tokeny JWT.
Ocena ryzyka
Podatność ta stwarza ryzyko przejęcia konta administratora, co może prowadzić do nieautoryzowanego dostępu do danych i funkcji systemu. Organizacje powinny być świadome potencjalnych zagrożeń związanych z nieaktualnymi wersjami oprogramowania.
Rekomendacja
Zaleca się aktualizację do wersji 2.10.19 lub nowszej, aby usunąć tę podatność. Należy również monitorować punkty końcowe API w celu wykrywania nieautoryzowanych prób dostępu.
Oryginalny opis (angielski, źródło NVD)
Dataease is an open source data visualization analysis tool. Prior to version 2.10.19, DataEase uses the MD5 hash of the user’s password as the JWT signing secret. This deterministic secret derivation allows an attacker to brute-force the admin’s password by exploiting unmonitored API endpoints that verify JWT tokens. The vulnerability has been fixed in v2.10.19. No known workarounds are available.

