漏洞描述：

Dаtаеаѕе是一个开源的数据可视化分析工具,在 2.10.14及以下版本中,Dаtаеаѕе在建立与 Orасlе的JDBC 连接时未进行适当的过滤,导致存在 JNDI 注入（Jаvа 命名和目录接口注入）风险,此问题已在2.10.15版本中修复

影响产品：

DataEase:<=2.10.14

攻击场景：

攻击者可通过构造恶意的JDBC连接字符串利用JNDI注入机制,诱导DataEase服务端连接到恶意LDAP服务器,从而在目标系统上执行任意代码,攻击可发生在远程网络环境下无需用户交互

修复建议:

补丁名称：

Dаtаеаѕе拒绝服务漏洞的补丁-更新至最新版本2.1016

文件链接：

https://github.com/dataease/dataease/releases/tag/v2.10.16