製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

DataEaseにおける許容された入力値の許可リストに関する脆弱性

タイトル	DataEaseにおける許容された入力値の許可リストに関する脆弱性
概要	DataEaseはオープンソースのデータ可視化および分析プラットフォームです。バージョン2.10.20以下には、MySQLデータソース構成におけるJDBCパラメータブロックリストのバイパス脆弱性があります。MysqlクラスはLombokの@Dataアノテーションを使用しており、これによりJDBCセキュリティブロックリストを含むillegalParametersフィールドに対するパブリックセッターが自動生成されます。JSON形式でデータソース構成が送信されると、Jacksonのデシリアライズ処理が攻撃者提供の空リストを引数にsetIllegalParametersを呼び出し、getJdbc()の検証が実行される前にブロックリストを置き換えてしまいます。これにより、認証済みの攻撃者はallowLoadLocalInfile=trueのような危険なJDBCパラメータを含めることができ、データソースを悪意のあるMySQLサーバーに向けることで、LOAD DATA LOCAL INFILEプロトコル機能を悪用し、DataEaseサーバーのファイルシステム上の任意のファイルや環境変数、データベース資格情報などの機密情報を読み取ることが可能になります。この問題はバージョン2.10.21で修正されています。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月16日0:00
登録日	2026年4月21日10:44
最終更新日	2026年4月21日10:44

CVSS3.0 : 警告
スコア	6.5
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

影響を受けるシステム

DataEase

DataEase 2.10.21 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-40899	https://www.cve.org/CVERecord?id=CVE-2026-40899
National Vulnerability Database (NVD)
2	CVE-2026-40899	https://nvd.nist.gov/vuln/detail/CVE-2026-40899

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-183	https://cwe.mitre.org/data/definitions/183.html

ベンダー情報

No	名前	URL
GitHub
1	Arbitrary File Read Vulnerability Advisory dataease/dataease GitHub	https://github.com/dataease/dataease/security/advisories/GHSA-944x-93jf-h3rx

その他

No	名前	URL
関連文書
1	Release v2.10.21 dataease/dataease GitHub	https://github.com/dataease/dataease/releases/tag/v2.10.21

変更履歴

No	変更内容	変更日
1	[2026年04月21日] 掲載	2026年4月21日10:44

NVD脆弱性情報

CVE-2026-40899

概要	DataEase is an open-source data visualization and analytics platform. Versions 2.10.20 and below contain a JDBC parameter blocklist bypass vulnerability in the MySQL datasource configuration. The Mysql class uses Lombok's @Data annotation, which auto-generates a public setter for the illegalParameters field that contains the JDBC security blocklist. When a datasource configuration is submitted as JSON, Jackson deserialization calls setIllegalParameters with an attacker-supplied empty list, replacing the blocklist before getJdbc() validation runs. This allows an authenticated attacker to include dangerous JDBC parameters such as allowLoadLocalInfile=true, and by pointing the datasource at a rogue MySQL server, exploit the LOAD DATA LOCAL INFILE protocol feature to read arbitrary files from the DataEase server filesystem, including sensitive environment variables and database credentials. This issue has been fixed in version 2.10.21.
公表日	2026年4月17日5:16
登録日	2026年4月18日4:10
最終更新日	2026年4月21日1:42

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:dataease:dataease::::::::					2.10.21

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/dataease/dataease/releases/tag/v2.10.21	security-advisories@github.com
2	https://github.com/dataease/dataease/security/advisories/GHSA-944x-93jf-h3rx	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-183	許容された入力値の許可リスト	https://cwe.mitre.org/data/definitions/183.html