CVE-2024-52295丨DataEase 存在伪造 JWT 令牌漏洞

2024年11月14日 48点热度 0人点赞 0条评论

CVE编号

CVE-2024-52295

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-14

DataEase是一款开源的数据可视化分析工具。在版本低于2.10.2的情况下，DataEase允许攻击者伪造JWT并接管服务。JWT密钥被硬编码在代码中，而UID和OID也是硬编码的。这一漏洞已在v2.10.2版本中修复。

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/dataease/dataease/commit/e755248d59543bcd668ace495f293ff735fa82e9
https://github.com/dataease/dataease/security/advisories/GHSA-45v9-gfcv-xcq6