漏洞概况

DataEase 是一款开源的数据可视化分析工具,旨在帮助用户快速分析数据、洞察业务趋势,从而支持业务改进和优化。

微步情报局长期关注国内外影响较大的开源项目,对可能存在的漏洞进行持续挖掘分析。微步情报局继CVE-2025-48999、CVE-2025-49001、CVE-2025-49002、CVE-2025-53004、CVE-2025-53005后,再次挖掘出DataEase Db2任意文件写入高危漏洞(CVE-2025-57773 ),此漏洞为后台Db2数据源JDBC漏洞,拥有后台权限的攻击者可通过构造恶意JNDI注入字符串触发AspectjWear反序列化写入任意文件。

漏洞需要用户权限,但漏洞利用难度低,且技术细节已公开,建议受影响用户尽快修复。

漏洞处置优先级(VPT)

漏洞影响范围

漏洞复现

修复方案

官方修复方案:

DataEase官方已发布修复版本,请尽快更新至2.10.12及以上版本 :

https://github.com/dataease/dataease/security/advisories/GHSA-7r8j-6whv-4j5p

临时缓解措施:

  • 通过防护类设备进行防护,拦截请求中出现的恶意JDBC特征。

  • 在不影响业务的情况下,限制设备出网

  • 如非必要,避免将资产暴露在互联网

微步产品侧支持

  • 微步威胁感知平台TDP已支持检测,检测ID:S3100167190 ,模型/规则高于20250820000000可检出。