Salesforce, Tableau Server platformunda saldırganların uzaktan kodu yürütmesine ve üretim veritabanlarına yetkisiz erişim kazanmasına izin verebilecek bir dizi kritik güvenlik açığı açıkladı.
26 Haziran 2025’te açıklanan güvenlik açıkları, Tableau Server’ın birden fazla sürümünü etkiler ve 8.0 ila 8.5 arasında değişen CVSS puanlarını taşır ve bu da derhal dikkat gerektiren ciddi güvenlik risklerini gösterir.
Kritik Salesforce Kusurları
Salesforce, Haziran bakım sürümünde ele alınan sekiz kritik güvenlik açıkıyla ilgili tüm aktif Tableau Server portal yöneticilerine ve güvenlik kişilerine acil bildirimler gönderdi.
Şirket, tüm Tableau Server müşterilerine bu güvenlik risklerini azaltmak için hemen en son desteklenen sürüme yükseltmelerini şiddetle tavsiye ediyor.
| CVE kimliği | Güvenlik Açığı Türü | CVSS Puanı | Etkilenen bileşen |
| CVE-2025-52446 | Yetkilendirme Bypass | 8.0 | Tab-Doc API modülleri |
| CVE-2025-52447 | Yetkilendirme Bypass | 8.0 | Set-Initial-SQL Tabdoc komut modülleri |
| CVE-2025-52448 | Yetkilendirme Bypass | 8.0 | In-Initial-SQL API modüllerini doğrula |
| CVE-2025-52449 | Sınırsız Dosya Yükleme (RCE) | 8.5 | Genişletilebilir Protokol Hizmet Modülleri |
| CVE-2025-52452 | Yolun geçişi | 8.5 | Tabdoc API-yinelenen veri kaynağı modülleri |
| CVE-2025-52453 | Sunucu tarafı isteği asmeri | 8.2 | Akış Veri Kaynağı Modülleri |
| CVE-2025-52454 | Sunucu tarafı isteği asmeri | 8.2 | Amazon S3 Konektör Modülleri |
| CVE-2025-52455 | Sunucu tarafı isteği asmeri | 8.1 | EPS Sunucu Modülleri |
Etkilenen sürümler, 2025.1.3’ten önce, 2024.2.12’den önce ve 2023.3.19’dan önce Tableau Server kurulumlarını içerir.
Bu sürümlerden herhangi birini yöneten kuruluşlar, tüm veri altyapılarını tehlikeye atabilecek potansiyel saldırılara karşı özellikle savunmasızdır.
Keşfedilen güvenlik açıkları, örgütsel güvenliği ciddi şekilde tehlikeye atabilecek birkaç tehlikeli saldırı vektörünü kapsamaktadır.
Uzaktan Kod Yürütme (RCE) yetenekleri, saldırganların etkilenen sistemlerde keyfi kod yürütmesine izin veren en kritik tehdidi temsil eder.
Buna ek olarak, kusurlar rastgele SQL üzerinden üretim veritabanı erişimini sağlar ve potansiyel olarak hassas kurumsal verileri yetkisiz taraflara maruz bırakır.
Diğer önemli güvenlik riskleri arasında, kötü amaçlı aktörlerin kısıtlı dosyalara erişmesine ve sunucu isteklerini manipüle etmesine izin verebilecek yerel dosya maruziyeti ve sunucu tarafı talebi asma (SSRF) saldırıları yer alır.
Bu güvenlik açıkları toplu olarak, siber suçluların etkilenen sistemler üzerinde kapsamlı kontrol elde etmek için sömürebileceği kapsamlı bir saldırı yüzeyi yaratır.
Bu güvenlik açıklarının şiddeti ve kapsamı, tüm Tableau Server dağıtımları için hemen yamayı gerekli kılar.
Kuruluşlar, sistemlerini en son desteklenen sürümlere güncellemeye öncelik vermeli ve herhangi bir uzlaşma gerçekleşmemesini sağlamak için kapsamlı güvenlik değerlendirmeleri yapmalıdır.
Yüksek CVSS puanları ve uzaktan kod yürütme potansiyeli göz önüne alındığında, bu güncellemelerin ertelenmesi önemli güvenlik ihlallerine ve veri uzlaşmasına neden olabilir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now