Salesforce’un Tableau sunucusunu etkileyen saldırganların uzaktan kod yürütmesine, yetkilendirme kontrollerini atlamasına ve hassas üretim veritabanlarına erişmesine izin verebilecek çok sayıda kritik güvenlik açığı.
26 Haziran 2025’te yayınlanan bir güvenlik danışmanlığı aracılığıyla açıklanan güvenlik açıkları, 2025.1.3’ten önce ve 2024.2.12’den önce ve 2023.3.19’dan önce, işletme ortamlarında acil çağrı çağrılarını başlattı.
Key Takeaways
1. Eight critical vulnerabilities affect Tableau Server versions before 2025.1.3, 2024.2.12, and 2023.3.19
2. Enables remote code execution and unauthorized database access.
3. Upgrade to the latest supported version now
Çoklu Tableau Bileşenlerinde Yüksek Şeyişli Kusurlar
Güvenlik güvenlik açıkları, çeşitli Tableau Sunucu modüllerine yayılır ve tehdit aktörlerinin kullanabileceği kapsamlı bir saldırı yüzeyi sunar.
En şiddetli güvenlik açığı olan CVE-2025-52449, 8.5 CVSS 3.1 baz puanı taşır ve genişletilebilir protokol hizmet modülleri içindeki sınırsız dosya yükleme özelliklerinden kaynaklanır.
Bu kusur, aldatıcı dosya adları nedeniyle alternatif yürütme yöntemleri aracılığıyla uzaktan kod yürütülmesini (RCE) sağlar ve potansiyel olarak saldırganların tam sistem kontrolü kazanmasına izin verir.
Her biri CVSS ölçeğinde 8.0 puanlama, Set-Doc API modülleri, set-initial-SQL Tabdoc komut modülleri ve doğrulama-gerçeği modüllerini etkiler.
Bu güvenlik açıkları, arayüzleri manipüle etmek için kullanıcı kontrollü anahtarlardan yararlanır ve hassas organizasyonel veriler içeren üretim veritabanı kümelerine yetkisiz erişim sağlar.
Sunucu tarafı istek asmeri ve yol geçiş kusurları
Sunucu tarafı isteği asmeri (SSRF) güvenlik açıkları, farklı bileşenlerde üç ayrı CVE tanımlanmış başka bir kritik saldırı vektörünü temsil eder.
CVE-2025-52453 (CVSS 8.2) akış veri kaynağı modüllerini etkilerken, CVE-2025-52454 (CVSS 8.2) Amazon S3 konektör modüllerini etkiler.
Üçüncü SSRF güvenlik açığı, CVE-2025-52455 (CVSS 8.1), EPS sunucu modüllerini hedefler.
Bu güvenlik açıkları, kaynak konumunun sahte olmasını sağlar, saldırganların sunucu isteklerini manipüle etmesine ve potansiyel olarak dahili sistemlere erişmesine olanak tanır.
CVE-2025-52452 (CVSS 8.5) olarak belirlenen önemli bir yol geçiş güvenlik açığı, Tabdoc API yinelenen veri-kaynak modüllerini etkiler.
Yol adı kısıtlamalarının bu yanlış sınırlandırılması, mutlak yol geçiş saldırılarını sağlar ve potansiyel olarak dizin geçiş teknikleri aracılığıyla sunucu dosya sistemi boyunca hassas dosyaları ortaya çıkarır.
| CVE kimliği | Güvenlik Açığı Başlığı | CVSS 3.1 puanı | Şiddet |
| CVE-2025-52446 | Kullanıcı tarafından kontrol edilen anahtar aracılığıyla yetkilendirme baypas | 8.0 | Yüksek |
| CVE-2025-52447 | Kullanıcı tarafından kontrol edilen anahtar aracılığıyla yetkilendirme baypas | 8.0 | Yüksek |
| CVE-2025-52448 | Kullanıcı tarafından kontrol edilen anahtar aracılığıyla yetkilendirme baypas | 8.0 | Yüksek |
| CVE-2025-52449 | Tehlikeli tipte sınırsız dosya yüklemesi | 8.5 | Yüksek |
| CVE-2025-52452 | Bir yol adının sınırlı bir dizine uygunsuz sınırlandırılması | 8.5 | Yüksek |
| CVE-2025-52453 | Sunucu tarafı isteği asmeri (SSRF) | 8.2 | Yüksek |
| CVE-2025-52454 | Sunucu tarafı isteği asmeri (SSRF) | 8.2 | Yüksek |
| CVE-2025-52455 | Sunucu tarafı isteği asmeri (SSRF) | 8.1 | Yüksek |
Hafifletme
Salesforce, tüm Tableau Server müşterilerine acil iyileştirme önlemleri uygulamalarını şiddetle tavsiye eder.
Kuruluşlar, resmi Tableau Server Bakım Sürümü sayfası aracılığıyla mevcut olan mevcut şubeleri içinde en son desteklenen bakım sürümünü güncellemelidir.
Ayrıca, TRINO (eski adıyla Presto) sürücülerini kullanan müşteriler, kapsamlı koruma sağlamak için en son sürücü sürümüne güncellemelidir.
Desteklenmemiş Tableau Server sürümlerini çalıştıran işletmeler için Salesforce, kritik güvenlik güncellemelerine ve teknik desteğe erişimi sağlamak için uyumlu desteklenen sürümlere yükseltilmeyi önerir.
Gerçek zamanlı sanal alan analizi ile daha hızlı, daha doğru kimlik avı tespiti ve işletmeniz için gelişmiş koruma deneyimi-> Herhangi birini deneyin. Şimdi