发布日期：2024-12-09
更新日期：2025-02-19

受影响系统：

WeiYe-Jing datax-web 2.1.1

描述：

---

CVE(CAN) ID: CVE-2024-12358

DataX-Web是WeiYe个人开发者的一个在 DataX 之上开发的分布式数据同步工具。
DataX-Web 2.1.1版本中/api/job/add/文件的glueSource参数存在操作系统命令注入漏洞，攻击者可利用该漏洞注入并执行代码，从而潜入目标系统并执行各种恶意活动，包括窃取敏感信息、篡改数据、传播病毒或恶意软件以及其他有害行为。

<**>

建议：

---

厂商补丁：

WeiYe-Jing
----------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://github.com/jxp98/VulResearch/blob/main/2024/12/1.Datax-Web%20-%20Remote%20Code%20Execution.md

浏览次数：222
严重程度：0（网友投票）