Dataease <2.10.11 PostgreSQL数据源JDBC连接参数绕过漏洞

于 2025-07-01 00:24:34 发布
阅读量393 收藏 18
点赞数 23
CC 4.0 BY-SA版权
文章标签: postgresql 数据库 Dataease漏洞 PostgreSQL数据源 JDBC连接参数绕过
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/murphysec/article/details/149034635

【高危】Dataease <2.10.11 PostgreSQL数据源JDBC连接参数绕过漏洞

漏洞描述

DataEase是一款开源的数据可视化分析工具,提供数据分析、图表展示和仪表盘设计功能,广泛应用于企业数据分析场景。
受影响版本中,仅对 JDBC 连接字符串中的 socketFactory 和 socketFactoryArg 参数进行黑名单限制,攻击者可通过使用 sslfactory 和 sslfactoryarg 参数配置PostgreSQL数据源JDBC字符串绕过限制。
修复版本通过新增sslfactory、sslhostnameverifier、sslpasswordcallback、authenticationPluginClassName黑名单,防止绕过。

MPS编号MPS-tl3a-8wmc
CVE编号CVE-2025-53005
处置建议建议修复
发现时间2025-06-30
利用成本
利用可能性
是否有POC

影响范围

影响组件受影响的版本最小修复版本
io.dataease:core-backend(-∞, 2.10.11)2.10.11
dataease(-∞, 2.10.11)2.10.11

参考链接

https://github.com/dataease/dataease/commit/1abea043b46856531661e489d2ece9b935f53f6d

https://www.oscs1024.com/hd/MPS-tl3a-8wmc

https://github.com/dataease/dataease/security/advisories/GHSA-mfg2-qr5c-99pp

排查方式

手动排查

  1. 检查Dataease版本:执行dataease --version或查看pom.xml,确认版本是否<2.10.11。
  2. 检查PostgreSQL数据源JDBC串:登录Dataease管理后台,查看所有PostgreSQL数据源配置,检查连接字符串是否含sslfactory、sslfactoryarg、sslhostnameverifier、sslpasswordcallback、authenticationPluginClassName参数。

一键自动排查全公司此类风险

墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务,可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。

试用地址:https://www.murphysec.com/apply?code=VGUL

提交漏洞情报:https://www.murphysec.com/bounty

处置方式

应急缓解方案

  1. 暂停新增PostgreSQL数据源操作,限制现有数据源配置修改权限
  2. 对所有PostgreSQL数据源连接字符串进行审计,检查是否存在sslfactory、sslhostnameverifier等关键字
  3. 在应用前端及API层临时添加输入验证,过滤包含sslfactory、sslhostnameverifier、sslpasswordcallback、authenticationPluginClassName的JDBC连接参数
  4. 加强应用日志审计,重点监控数据源配置相关操作及异常JDBC连接行为

根本修复方案

  1. 将Dataease系统升级至2.10.11或更高版本
  2. 升级前备份现有数据及配置文件
  3. 按照官方升级指南执行升级操作,确保升级过程中服务中断最小化
  4. 升级完成后验证数据源连接功能正常性
  5. 定期检查官方安全公告,及时获取并应用后续安全更新
墨菲安全
关注
博客
汉王e脸通综合管理平台 meetingFileManage.do 未授权SQL注入漏洞
07-02 230
汉王e脸通综合管理平台manage/meeting/meetingFileManage.do接口order字段存在未授权SQL注入漏洞。该设备用于门禁、考勤等场景,受影响版本广泛。漏洞利用成本低、可能性极高且有POC,攻击者可未授权执行SQL命令。排查可访问目标路径并测试order参数响应差异。建议立即限制接口访问、部署WAF过滤,根本修复需升级至修复版本并添加认证与参数校验。
博客
NPM组件 betsson 等窃取主机敏感信息
07-01 590
NPM仓库多个组件(如betsson [1.0.0,99.99.2]、mod-cloud [1.0.6,1.1.3]、zenith-quest 1.0.1等)被植入恶意代码,安装后会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。利用成本低,影响范围广。建议立即排查并卸载受影响包,删除node_modules及package-lock.json后重装依赖,全面检查系统安全(如异常进程、境外IP通信),加强依赖管理(使用官方源、限制版本范围、定期审计)。
博客
PyPI仓库 loggutils 组件内嵌恶意代码
06-30 85
PyPI仓库loggutils组件0.1.0版本内嵌恶意代码,属高危风险。安装后会窃取用户浏览器数据、剪贴板信息、系统文件,记录键盘输入并截取摄像头画面,同时实现远程控制。利用成本低,利用可能性中。建议立即排查是否安装该版本包,若已安装需彻底移除并扫描系统,检查异常进程与敏感信息泄露,加强依赖管理,仅从官方源安装组件并定期审计依赖安全。
博客
Apache Seata < 2.3.0 raft反序列化漏洞
06-30 263
Apache Seata <2.3.0存在高危反序列化漏洞(CVE-2025-32897),影响Seata Server [2.0.0, 2.3.0)版本。Raft模块CustomDeserializer未校验用户可控类名,直接通过Class.forName()加载,攻击者可利用服务端恶意链实现远程代码执行。修复版本2.3.0引入白名单机制,仅允许反序列化org.apache.seata包下类。建议受影响用户立即升级至2.3.0及以上版本,或限制Raft端口访问并启用IP白名单。
博客
总结过去三年软件供应链安全一些非共识核心问题
03-19 847
过去三年,我大概每年平均至少见300个企业的专家和大佬们,这三年下来也快1000人次了吧。虽然有一些人是重复见了很多次的,但每次见也多少会有新的收获。因为工作的原因,我们聊最多的话题其实是跟软件供应链安全相关的,所以我最近就特别想把过去我们这1000次交流过程中,聊到的最核心的问题都提炼出来,然后在今年的产品迭代、公众号、直播、闭门会议、对外技术交流分享中,把这些内容重点放进去。也是希望通过这样的方式,给所有准备做,或者正在做企业软件供应链安全的专家和大佬朋友们一些输入。
博客
探讨企业安全项目立项成功的关键
03-19 570
尤瓦尔·赫拉利在《人类简史》中说道:“讲故事”和“相信故事”的能力,是原始部落突破150人上限、展开大规模协作的前提。立项是什么?其实就是你在企业内部,把想做的事情以故事的形式,讲给企业管理者和同事们听,并且让他们相信这个故事,从而投入资源来帮助你实现你的故事。因为创业的缘故,平时和企业客户接触最多的一项工作,就是辅助企业安全专家大佬们,在内部申请立项。而且经常面对的是,来自各行业企业的客户的立项需求。虽然各家企业内部,立项的级别和项目内容,会有一些区别。但总体来说,立项流程。
博客
聊聊近期三大软件供应链安全威胁
03-19 422
从近期大量曝光的安全事件分析可以发现,开源组件的投毒攻击是目前黑灰产最常用的攻击手段,尤其是针对虚拟货币交易所,愈演愈烈,大概率是黑灰产尝到了开展这一类攻击的甜头,从我们实际的经验来看,针对开源组件的投毒攻击,对于所有企业来说,成功率要远远高于企业安全专家们的预期,实际上非常容易成功的。墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,能力包括软件成分分析(SCA)、代码安全检测、开源组件许可证合规管理等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。
博客
作为创业者,DeepSeek爆火带来的七点启示
03-19 1197
但从结果上来说,想要在全球范围内带来持久的影响力,必须要有真东西,必须要经得起用户的检验,必须要货真价实的为用户创造实在的价值,才有可能持续带来真正的正面影响力,不然都是泡沫和昙花一现。DeepSeek这个事情对我们的触动是非常之大的,甚至我都开始认为DeepSeek这一代的企业和企业家们,未来可能会用新的企业经营模式,给中国在全球激烈的竞争中赢得更大的影响力。一个是因为没有足够的卡和足够的钱,所以DeepSeek只能找一堆有理想的年轻人在一起埋头搞研发,搞创新,最后搞成了。
博客
从2024年十大热门安全初创公司看行业趋势
03-19 725
最近经常跟负责企业安全的朋友们,讨论2025年企业安全有什么新的业务方向。刚好这两天看到,海外知名IT媒体CRN发出的一篇《2024 年 10 家最热门的网络安全初创公司》文章。所以花了一下午的时间,研究了一下这些公司正在做的安全方向,以及他们产品的一些主打特性。我想,这从某种程度,也代表着行业的最新方向和趋势。所以趁着年底,我把自己看完之后的思考和分析写下来,跟朋友们分享一下,希望能给大家带来一些帮助,也欢迎大家一起交流。Cyera是一家成立于2021年的数据安全公司,总部位于美国纽约。
博客
墨菲安全创始人章华鹏:老白帽创业三年,向死而生
03-19 670
两年多以前我刚开始创业时,写了一篇《白帽十年,再出发,愿归来仍是少年》的文章,分享了我这个搞了十年安全研究和企业安全建设的老白帽,为什么选择创业的心路历程。一晃两年多过去了,当写下这行文字的时候,正是2024年11月19日,按工商登记时间来算,我们创办墨菲安全这家企业刚好三周年。这三年对于我们来说,经历了太多太多跌宕起伏。2021年9月从大厂安全负责人岗位上毅然离职,和团队的几个伙伴充满激情、义无反顾的冲上创业这条路。
博客
墨菲安全出席蚂蚁举办的切面会客厅,以供应链视角推动企业软件安全架构升级
03-19 1067
切面服务收到任务后,结合漏洞修复信息,对存在漏洞的服务进行一键统一漏洞修复,完成整个漏洞事件的闭环。墨菲安全可以结合漏洞数据,将开源组件漏洞触发函数作为切点注入,当应用运行时,便可获取漏洞触发函数的调用栈信息,进而识别触发函数调用上下文信息,判断是否存在漏洞可达性路径,最终可以过滤掉95%左右的不可触发漏洞。安全切面技术能力的应用,就可以帮助运营人员在实际操作中,全量或下发特定的组件及风险识别任务,识别组件,并识别是否存在真实风险,以及风险资产对应的系统情况,进一步进行风险处置。
博客
墨菲安全荣获“华为网络安全应急响应协同奖”
03-19 223
在过去一年中,墨菲安全在漏洞发现、报告、修复及应急响应等方面与华为紧密合作,展现了在网络安全应急响应方面的专业能力和高效协同。苏木拥有行业领先的漏洞知识库,支持10min快速接入各开发流程,将代码项目存在的安全风险清晰展示,并支持IDE插件、GitHub等方式快速完成漏洞修复,轻松管理开源风险。,该奖项旨在表彰近一年中与华为紧密合作、在网络安全应急响应协同中及时识别风险,提供有效协作,并做出贡献的行业安全团队。贯众覆盖超6w+主流组件,并已全球首发多个0day预警,漏洞预警已达分钟级,从容应对安全风险。
博客
墨菲安全入选首批“切面联盟技术合作伙伴计划”
08-14 1459
墨菲安全作为安全平行切面联盟成员,凭借“基于切面技术的软件供应链安全”产品特色和创新实践,入选首批“切面联盟技术合作伙伴计划”,成为切面联盟唯一一家在软件供应链安全领域的合作伙伴。
博客
24000字企业开源安全治理最佳实践发布
04-30 1026
这篇最佳实践的内容取材于互联网、金融、运营商、智能制造、能源等领域数十家头部企业在过去近三年时间的实践经验总结,在编写这篇最佳实践的2个多月过程中,我又收到将近20家企业的应用安全专家及安全负责人的高质量建议,这其中包括来自小米的piaca、月胜、涂鸦智能的刘龙威、快手的廖师傅及非零解、百度的长林、知乎的维祥及夜明、传化物流的国超、某支付的刘奇及山人、某科技公司的我宝哥及杨哥、京东的斯诺、蚂蚁的小哥等一众大佬的支持,当然还有来自墨菲安全的一众专业和可爱小伙伴们两个多月的付出。1、企业最佳实践的分享。
博客
差点引爆全球的核弹,深度分析XZ-Utils供应链后门投毒事件
04-01 3922
wp:quote处心积虑的投毒者蛰伏三年多,精心选择对象,通过复杂的攻击手法、专业的技战术,一步步支起一张大网,企图掌控全球主流linux发行版,一旦成功他将可以随意侵入全球绝大多数的服务器,这将是足以引爆全球的核弹危机。所幸由于复杂度过高以及投毒者的疏忽,事件被及早发现,没有造成过大的现实危害。但此次事件再次凸显出开源软件生态的脆弱性,本次事件仍可能只是冰山下的一角。墨菲安全也提醒所有企业不应该默认相信来自开源社区的软件,应该加强企业自身的供应链安全体系建设,才能当危机来临时应对自如。/wp:quote。
博客
剖析美国政府视角下的ICT供应链安全
03-25 1489
2018 年 11 月 15 日,美国国土安全部(DHS)宣布成立了信息和通信技术 (ICT) 供应链风险管理(SCRM)工作组,这个工作组是由美国多个政府部门、IT行业企业代表及通信行业企业代表联合成立的。该组织对外宣传的目标是识别和管理全球 ICT 供应链的风险。之后该组织非常活跃,2024 年 2 月 6 日,该组织刚刚宣布将工作组延长两年。
博客
墨菲安全在软件供应链安全领域阶段性总结及思考
03-20 1096
反观,今天企业软件应用的生产过程正在经历这么一个逐渐走向成熟的过程,据权威数据统计目前各行业企业的软件应用大概来自供应链的成分占比超过90%,据工信部数据显示2022年全国软件及信息化相关服务市场规模超过10万亿,到2028年还将翻一番来到20万亿,而当前软件产业链在安全上的投入恐怕连0.1%(100亿)都不到,这里面未来发展的空间非常大。传统的开发安全体系(SDL/DevSecOps)更多的关注的是软件研发过程中的安全管控,但是实际上软件供应链安全要贯穿软件从生产、分发、应用、持续更新等全过程的管理。
博客
企业开展开源安全治理必要性及可行性详细分析
03-18 1613
当新鲜事物产生时,首先我们应该积极的态度去拥抱它,但是它是不是真的值得我们投入(包括当下工作和未来个人技术成长),就需要客观的分析其必要性,同时结合自身情况了解它的可行性。开源安全治理方向是近几年经济下行周期中企业为数不多大家关注的热门方向,也是当前企业面临的主要安全威胁,大量勒索攻击、数据泄露事件究其原因都与此有关,再加上自主可控的大背景需求下,此项需求被催生和释放就理所当然了。但是面对这样一个热门的方向,行业头部企业都在积极投入和规划,我们应该如何客观看待,开源安全治理到底是昙花一现的伪需求?
博客
【高危】Apache Solr 环境变量信息泄漏漏洞
01-17 1105
Apache Solr 是一款开源的搜索引擎。在 Apache Solr 受影响版本中,由于 Solr Metrics API 默认输出所有未单独配置保护策略的环境变量。在默认无认证或具有 metrics-read 权限的情况下,攻击者可以通过向 /solr/admin/metrics 端点发送恶意请求,从而获取到运行 Solr 实例的主机上的所有系统环境变量,包括敏感信息的配置、密钥等。
博客
【中危】IoTDB 存在远程代码执行漏洞
01-17 648
Apache IoTDB是时序数据的数据管理系统,为用户提供数据采集、存储、分析等特定服务。JEXL是一个表达式语言引擎,全称是Java表达式语言(Java Expression Language),可以在 java 程序中动态地运算一些表达式在受影响版本中,由于IoTDB通过UDTFJexl.java实现 JEXL 表达式支持。攻击者可以通过配置 UDF,调用 JEXL表达式来执行 JAVA命令,导致存在远程代码执行漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值