Skip to content

[Bug]普通用户可上传插件至任意代码执行 #2431

Closed
@Ryze-T

Description

DataEase 版本
最新版

运行方式(安装包运行 or 源码运行 ?)
安装包运行

浏览器版本
任意

Bug 描述
普通用户可上传插件至任意代码执行

Bug 重现步骤(有截图更好)
在官网编译插件,并在主要连接presto的功能处加入恶意代码:
image
插件安装处未鉴权,普通用户可调用接口上传插件:
image
上传成功后普通用户新建presto数据源:
image
查看dnslog平台:
image
命令成功执行

Metadata

Labels

类型:bugSomething isn't working

Type

No type

Projects

No projects

Milestone

No milestone

Relationships

None yet

Development

No branches or pull requests

Issue actions