DataEase 项目就影响其流行的开源 BI 工具的一个关键漏洞（CVE-2024-56511）发布了紧急公告。 该漏洞在 CVSSv4 评级中被评为 9.3 级，可绕过身份验证机制，在未经授权的情况下访问敏感数据。

DataEase 是一款广泛使用的商业智能工具，可帮助用户轻松分析数据并获得可行的见解。 它的拖放界面、对不同数据源的支持以及无缝图表共享功能使其成为企业优化运营的首选。

该漏洞存在于io.dataease.auth.filter.TokenFilter类中，认证过程中不恰当的URL过滤允许攻击者绕过安全措施。 公告指出：“io.dataease.auth.filter.TokenFilter 类中的身份验证存在漏洞，可被绕过并导致未经授权访问的风险。 ”

该漏洞源于 TokenFilter 类处理请求 URL 的方式。 具体来说，WhitelistUtils.match 方法会过滤分号，以确定 URL 是否需要身份验证。 然而，当用户在部署中配置自定义 server.servlet.context-path 时，就可以规避这一机制。 例如：

• 直接访问 http://127.0.0.1:8100/demo/de2api/user/info 会导致 500 错误，表明令牌验证失败。
• 通过将 URL 更改为 http://127.0.0.1:8100/geo/../demo/de2api/user/info，请求可绕过身份验证，从而允许未经授权访问敏感信息。

CVE-2024-56511 漏洞会影响DataEase≤2.10.3版本。 如果被利用，攻击者可以访问受保护的资源，可能导致数据泄露和业务运营受损。

DataEase 团队已发布 2.10.4 版，解决了这一关键漏洞。 强烈建议用户立即升级到该版本，以确保系统安全。