8月22日Salesforce發布資安公告,指出他們在一個月前推出的商業智慧分析軟體Tableau Server、Tableau Desktop更新2025.1.4、2024.2.13、2023.3.20當中,一共修補5項高風險資安漏洞,這些漏洞涉及類型混淆(Type Confusion)、未限制危險類型檔案上傳、禁用資料夾的路徑名稱進行未妥善設限,以及輸入驗證不當等問題,CVSS風險介於7.7至9.6。
這些漏洞被登記為CVE-2025-26496、CVE-2025-26497、CVE-2025-26498、CVE-2025-26450、CVE-2025-26451,根據風險值,最危險的是重大層級的CVE-2025-26496,同時影響Windows及Linux版本的Tableau Server、Tableau Desktop,攻擊者可利用不相容的類型存取特定資源,觸發這項類型混淆弱點,從而導致本機程式碼包含(Local Code Inclusion)的現象,CVSS風險為9.6分。
其餘4項漏洞僅影響Tableau Server,攻擊者有機會用於絕對路徑遍歷,較嚴重的是禁用資料夾的路徑名稱進行未妥善設限漏洞CVE-2025-52450,以及輸入驗證不當漏洞CVE-2025-52451,風險值皆為8.5。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
Advertisement