DataEase 任意文件写入漏洞(CVE-2025-57773)预警
1、基本情况
DataEase 是一款开源的数据可视化与分析平台,支持多种数据源接入,提供报表、看板、可视化大屏等功能,帮助用户实现数据查询、分析与展示率。它支持 JDBC、API 等多种数据连接方式,适用于BI 报表、数据分析及可视化场景。
近日,监测发现 DataEase 官方发布安全公告,修复了 DataEase任意文件写入漏洞(CVE-2025-57773),该漏洞存在于 DataEase 的DB2 数据库连接功能中,由于对 DB2 连接参数缺乏有效过滤,攻击者可以构造恶意的 JDBC URL 来触发 JNDI 注入攻击。当 JNDI 注入成功执行后,会进一步触发 AspectJWeaver 反序列化攻击链,最终实现任意文件写入。
建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
2、影响范围
受影响版本
⚫ version < 2.10.12
3、处置建议
目前该漏洞已经修复,受影响用户可升级到安全版本。
下载地址:https://github.com/dataease/dataease/security/advisories/GHSA-7r8j-6whv-4j5p
4、参考链接
1) https://github.com/dataease/dataease/security/advisories/GHSA-v37q-vh67-9rqv
2) https://github.com/dataease/dataease/security/advisories/GHSA-7r8j-6whv-4j5p