D-Tale affected by Remote Code Execution through the /save-column-filter endpoint

描述

Impact

Users hosting D-Tale publicly can be vulnerable to remote code execution allowing attackers to run malicious code on the server.

Patches

Users should upgrade to version 3.20.0.

Workarounds

There are no workarounds for versions < 3.20.0

基本信息

类型
reviewed
严重度
high
GitHub 上的公告
打开公告 ↗
仓库公告
打开仓库公告 ↗
源代码
浏览源码 ↗
公开(公告)
2026-02-19 20:29:05 UTC
更新时间
2026-02-23 22:26:11 UTC
GitHub 审核
2026-02-19 20:29:05 UTC
NVD 公开
2026-02-21

EPSS Score

Score Percentile
0.14% 34.10%

CVSS Scores

Base score Version Severity Vector
8.1 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U 点击展开
攻击向量 (AV:N)
经互联网或企业可路由网段即可远程触达,攻击者不必出现在设备旁。
攻击复杂度 (AC:L)
步骤短、路径清晰,复现成本低。
攻击要求 (AT:N)
除网络可达外,不必额外凑齐罕见基础设施或数据形态。
权限要求 (PR:N)
匿名或普通会话即可起步,不必事先提权。
用户交互 (UI:N)
无需受害者点击、放行宏或安装软件,攻击链可自动走完。
受影响系统的机密性影响 (VC:H)
面向批量窃取、长期潜伏或横向搬运机密数据,在实战上成立。
受影响系统的完整性影响 (VI:H)
可篡改审计链、植入后门或大面积伪造业务数据,动摇信任根基。
受影响系统的可用性影响 (VA:H)
可造成长时间中断、关键事务无法完成,或伴随数据损毁导致难以自愈。
后续系统的机密性影响 (SC:N)
经脆弱点波及下游后,几乎读不走有价值的机密数据。
后续系统的完整性影响 (SI:N)
下游记录与业务规则几乎不被撼动。
后续系统的可用性影响 (SA:N)
下游不至于被拖到长时间瘫痪。
利用成熟度(Threat) (E:U)
公开 PoC、实战滥用与自动化工具链均未坐实。

Identifiers

CWEs

CWE id Name
CWE-74 Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection')

Affected packages (1)

Vulnerable version ranges and first patched releases as published by GitHub.

Ecosystem Package Vulnerable range First patched Vulnerable functions
pip dtale < 3.20.0 3.20.0

References

cvelogic Threat Intelligence