漏洞

• fix: 修复 SSRF 导致任意文件读取漏洞(CVE-2026-32949)
• fix: 修复 Excel 上传接口远程代码执行漏洞(CVE-2026-32950)
• fix: 修复术语管理模块存在严重的存储型指令注入漏洞(CVE-2026-32622)
  感谢社区用户 jackieya 发现并向 DataEase 开源社区反馈上述漏洞。

新增功能

• feat: 新增数据源执行详情功能
• feat: 新增图表数据标签显示支持
• feat: 新增聊天日志步骤详情功能
• feat: 新增 MySQL SSL 支持
• feat: 数据表支持启用和禁用功能
• feat(dashboard): 仪表板支持实时数据显示
• feat(System Management): 支持系统变量功能

功能优化

• refactor: 优化数据源超时文本提示
• refactor: 优化表格图表长文本显示效果
• refactor(datasource): 调整推荐问题样式

问题修复

• fix: 修复数据源管理中点击启动聊天时，缺少加载状态的问题
• fix: 修复 whitelist.py 中缺少逗号导致 /mcp* 路由无法白名单访问的问题
• fix: 修复访问 API 文档需要身份验证的问题 #839
• fix: 修复点击劫持攻击漏洞
• fix: 修复数据源连接池回收不正确的问题
• fix: 修复表格中浮点数排序问题
• fix: 通过 psycopg2.sql.Identifier 防止 uploadExcel 中的 SQL 注入
• fix: 修复模型配置中 max_tokens 参数无效的问题
• fix: 修复数据表关联功能偶尔冻结整个关联界面的问题 #917
• fix: 修复删除所有表关系后无法保存的问题
• fix: 修复列权限搜索框搜索字段而非规则组的问题
• fix: 修复企业微信同步所有用户后，删除同步账户数据仍显示在页面上的问题