製品・ソフトウェアに関する情報

JVN脆弱性詳細

DataEaseにおける許容された入力値の許可リストに関する脆弱性

Title	DataEaseにおける許容された入力値の許可リストに関する脆弱性
Summary	DataEaseはオープンソースのデータ可視化および分析プラットフォームです。バージョン2.10.20以下には、MySQLデータソース構成におけるJDBCパラメータブロックリストのバイパス脆弱性があります。MysqlクラスはLombokの@Dataアノテーションを使用しており、これによりJDBCセキュリティブロックリストを含むillegalParametersフィールドに対するパブリックセッターが自動生成されます。JSON形式でデータソース構成が送信されると、Jacksonのデシリアライズ処理が攻撃者提供の空リストを引数にsetIllegalParametersを呼び出し、getJdbc()の検証が実行される前にブロックリストを置き換えてしまいます。これにより、認証済みの攻撃者はallowLoadLocalInfile=trueのような危険なJDBCパラメータを含めることができ、データソースを悪意のあるMySQLサーバーに向けることで、LOAD DATA LOCAL INFILEプロトコル機能を悪用し、DataEaseサーバーのファイルシステム上の任意のファイルや環境変数、データベース資格情報などの機密情報を読み取ることが可能になります。この問題はバージョン2.10.21で修正されています。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 16, 2026, midnight
Registration Date	April 21, 2026, 10:44 a.m.
Last Update	April 21, 2026, 10:44 a.m.

CVSS3.0 : 警告
Score	6.5
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Affected System

DataEase

DataEase 2.10.21 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-40899	https://www.cve.org/CVERecord?id=CVE-2026-40899
National Vulnerability Database (NVD)
2	CVE-2026-40899	https://nvd.nist.gov/vuln/detail/CVE-2026-40899

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-183	https://cwe.mitre.org/data/definitions/183.html

ベンダー情報

No	Name	URL
GitHub
1	Arbitrary File Read Vulnerability Advisory dataease/dataease GitHub	https://github.com/dataease/dataease/security/advisories/GHSA-944x-93jf-h3rx

その他

No	Name	URL
関連文書
1	Release v2.10.21 dataease/dataease GitHub	https://github.com/dataease/dataease/releases/tag/v2.10.21

Change Log

No	Changed Details	Date of change
1	[2026年04月21日] 掲載	April 21, 2026, 10:44 a.m.

NVD Vulnerability Information

CVE-2026-40899

Summary	DataEase is an open-source data visualization and analytics platform. Versions 2.10.20 and below contain a JDBC parameter blocklist bypass vulnerability in the MySQL datasource configuration. The Mysql class uses Lombok's @Data annotation, which auto-generates a public setter for the illegalParameters field that contains the JDBC security blocklist. When a datasource configuration is submitted as JSON, Jackson deserialization calls setIllegalParameters with an attacker-supplied empty list, replacing the blocklist before getJdbc() validation runs. This allows an authenticated attacker to include dangerous JDBC parameters such as allowLoadLocalInfile=true, and by pointing the datasource at a rogue MySQL server, exploit the LOAD DATA LOCAL INFILE protocol feature to read arbitrary files from the DataEase server filesystem, including sensitive environment variables and database credentials. This issue has been fixed in version 2.10.21.
Publication Date	April 17, 2026, 5:16 a.m.
Registration Date	April 18, 2026, 4:10 a.m.
Last Update	April 21, 2026, 1:42 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:dataease:dataease::::::::					2.10.21

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/dataease/dataease/releases/tag/v2.10.21	security-advisories@github.com
2	https://github.com/dataease/dataease/security/advisories/GHSA-944x-93jf-h3rx	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-183	許容された入力値の許可リスト	https://cwe.mitre.org/data/definitions/183.html