Salesforce安全团队近日宣布修复Tableau服务器中多个安全漏洞,这些漏洞是在主动安全评估中发现,并于2025年7月22日维护版本中完成修补。未及时更新的Tableau服务器用户面临严重安全风险。
受影响版本包括2025.1.3、2024.2.12和2023.3.19之前的Tableau服务器版本,用户应立即升级至最新支持版本。具体漏洞包括:
CVE-2025-26496 – 类型混淆漏洞(CVSS 9.6)
Tableau服务器及Tableau桌面版(文件上传模块)存在缺陷,可能导致本地代码包含。Salesforce指出:”资源使用不兼容类型访问(类型混淆)漏洞……允许本地代码包含。”
CVE-2025-26497 & CVE-2025-26498 – 危险文件上传漏洞(CVSS 7.7)
存在于Flow Editor和establish-connection-no-undo模块中的漏洞,允许攻击者实施绝对路径遍历攻击。
CVE-2025-52450 – 路径遍历漏洞(CVSS 8.5)
tabdoc API中的路径名限制不当漏洞,可使攻击者绕过目录限制获取未授权文件访问权限。
CVE-2025-52451 – 输入验证不当漏洞(CVSS 8.5)
同样存在于tabdoc API中的绝对路径遍历漏洞,暴露了文件上传机制中的输入验证缺陷。
这些漏洞的CVSS评分最高达9.6分,属于严重至高危级别。成功利用可能允许攻击者执行恶意代码、绕过目录保护或操纵文件上传——对于将Tableau服务器集成到企业报告和分析工作流程的环境构成严重威胁。
Salesforce已在所有支持版本中发布修复程序。安全公告强调:”客户应更新至其分支的最新维护版本,相关版本可从Tableau服务器维护发布页面下载。”
受影响用户应立即升级至:
-
2025.1.4或更高版本
-
2024.2.13或更高版本
-
2023.3.20或更高版本
补丁可通过Tableau服务器维护发布页面获取。
发表评论
您还未登录,请先登录。
登录