Goby热点漏洞更新—DataEase de2apidatasourcevalidate 代码执行漏洞（CVE-2025-48999CVE-2025-49001CVE-2025-49002）

漏洞名称：DataEase /de2api/datasource/validate 代码执行漏洞（CVE-2025-48999/CVE-2025-49001/CVE-2025-49002）
漏洞描述：

DataEase 是一款开源的数据可视化分析工具，旨在帮助用户快速构建数据可视化分析平台。DataEase 存在多个高危漏洞，包括 CVE-2025-48999（后台 Redshift 数据源 JDBC 漏洞）、CVE-2025-49002（后台 H2 数据源 JDBC 漏洞）、CVE-2025-49001（权限绕过漏洞），攻击者可以组合利用漏洞链路实现远程代码执行（RCE），从而完全控制受影响的系统，导致敏感数据泄露、服务中断或其他严重后果。

FOFA自检语句：

body="/js/index-0.0.0-dataease.js" || body="/assets/css/style-0.0.0-dataease.css"

受影响资产数量:

4600+

受影响版本:

version < 2.10.10

该漏洞利用难度低，且技术细节已公开，且小于2.10.10的所有版本都存在此漏洞，有较大的在野利用风险，可能导致系统被完全控制，建议及时排查处置。

Goby 实战化利用展示效果如下 :

了解Goby

Goby预置了最具实战化效果的漏洞引擎，覆盖Weblogic，Tomcat等最严重漏洞。Goby也提供了可以自定义的漏洞检查框架，发动了互联网的大量安全从业者贡献POC，保证持续的应急响应能力，目前已标准版已收录2000+POC，企业版已收录6000+poc。

查看Goby更多漏洞：Goby历史漏洞合集