DataEase CVE-2026-40899/40900/40901: catena di quattro vulnerabilità porta a RCE root senza credenziali
OX Security ha presentato alla conferenza RSAC 2026 una catena completa di quattro vulnerabilità in DataEase, la popolare piattaforma open-source di data visualization e business intelligence con oltre 17.000 star su GitHub. La catena parte da CVE-2026-23958 (CVSS 9.8, authentication bypass già nota) e aggiunge tre nuove flaw scoperte mediante reverse engineering dei binari closed-source.
Il meccanismo è il seguente: CVE-2026-40899 (CVSS 6.5) sfrutta un'annotazione Lombok @Data che espone un setter pubblico per il campo illegalParameters della classe Mysql, permettendo di azzerare la blocklist JDBC prima che la validazione venga eseguita. Con i parametri sboccati, l'attaccante punta il datasource verso un server MySQL malevolo e sfrutta LOAD DATA LOCAL INFILE per leggere file arbitrari, incluso /proc/1/environ, estraendo le credenziali del database interno. Con CVE-2026-40900 (CVSS 8.8) l'endpoint previewSql viene usato per iniettare query SQL stack per scrivere dati arbitrari nel database applicativo. Infine, CVE-2026-40901 (CVSS 8.8) avvelena la tabella qrtz_job_details del job scheduler Quartz con un payload Commons Collections (gadget chain CC6), che viene deserializzato alla successiva esecuzione del cron job, ogni sei minuti, ottenendo una reverse shell root all'interno del container.
L'intera catena è sfruttabile senza credenziali combinando CVE-2026-23958. OX Security ha eseguito la divulgazione responsabile: segnalazione il 6 aprile 2026, patch rilasciata il 16 aprile. Il tag "Exploited" nell'alert ACN indica sfruttamento attivo post-pubblicazione del PoC, avvenuta il 25 maggio.
Versioni affette:
DataEase ≤ 2.10.20.Azione raccomandata: aggiornare immediatamente a DataEase 2.10.21; in attesa della patch, implementare filtri di deserializzazione Java (JEP 290) per bloccare InvokerTransformer; limitare l'accesso all'endpoint previewSql tramite WAF; monitorare modifiche anomale alla tabella qrtz_job_details.