Salesforce, Tableau Server ve Masaüstünde saldırganların kötü amaçlı dosyalar yüklemesini ve keyfi kod yürütmesini sağlayabilecek birden fazla kritik güvenlik açıklığını ele almıştır.
22 Ağustos 2025’te açıklanan güvenlik açıkları, bir güvenlik değerlendirmesi sırasında proaktif olarak tanımlanmış ve 22 Temmuz 2025 bakım sürümünde yamalanmıştır.
Kritik Tip Karışıklık Güvenlik Açığı
En şiddetli kusur olan CVE-2025-26496, CVSS ölçeğinde kritik bir 9.6 puan alır ve hem Tableau Server hem de masaüstündeki dosya yükleme modüllerini etkiler.
Kaynağın uyumsuz tip güvenlik açığı kullanılarak bu erişimi, yerel kod dahil edilmesini sağlar ve potansiyel olarak saldırganların uygulama bağlamında kötü amaçlı kod yürütmesini sağlar. Kusur, Windows ve Linux kurulumlarını birden çok ürün sürümünde etkiler.
| CVE kimliği | Güvenlik Açığı Türü | CVSS V3 Puanı | Risk seviyesi |
| CVE-2025-26496 | Uyumsuz tip kullanarak kaynağın erişimi (‘Tip Karışıklık’) | 9.6 | Eleştirel |
| CVE-2025-26497 | Tehlikeli tipte sınırsız dosya yüklemesi | 7.7 | Yüksek |
| CVE-2025-26498 | Tehlikeli tipte sınırsız dosya yüklemesi | 7.7 | Yüksek |
| CVE-2025-52450 | Bir yol adının sınırlı bir dizinle uygunsuz sınırlandırılması (‘yol geçiş’) | 8.5 | Yüksek |
| CVE-2025-52451 | Yanlış giriş doğrulaması | 8.5 | Yüksek |
Dört ek güvenlik açıkları, sınırsız dosya yükleme özellikleri ve yol geçiş zayıflıkları etrafında toplanır.
CVE-2025-26497 ve CVE-2025-26498, her ikisi de 7.7 CVSS skorlarını taşırlar ve akış düzenleyicisindeki tehlikeli dosya yüklemeleri ve sırasıyla mutlak yol geçişine izin verir.
İki daha yüksek şiddetli kusur, CVE-2025-52450 ve CVE-2025-52451, Tabdoc API’sının dosya-kaynaktan dosya-yükleme işlevselliğini etkiler.
Her iki güvenlik açığı CVSS’de 8.5 puan alır ve uygunsuz yol adı sınırlaması ve giriş doğrulama hataları ile mutlak yol geçişi sağlar.
Güvenlik Açıkları, 2025.1.4, 2024.2.13 ve 2023.3.20’den önce Tableau Server sürümlerini etkiler. Tip Karışık Kususu ayrıca karşılık gelen Tableau masaüstü sürümlerini de etkiler.
Etkilenen tüm sistemler Windows ve Linux platformlarında çalışır ve güvenlik açıkları dosya işleme ve veri kaynağı oluşturma işleminden sorumlu belirli modülleri hedefler.
Bu güvenlik açıkları, kötü niyetli aktörler için birden fazla saldırı vektörü oluşturur. Sınırsız dosya yüklemelerinin yol geçiş özellikleri ile kombinasyonu, saldırganların sunucu dosya sistemindeki keyfi konumlara dosya yazmasına izin verebilir.
Kritik tür karışıklık kusuru, potansiyel olarak kod yürütmeyi mümkün kılarak tehdidi artırarak, dosya yükleme güvenliklerini tam sistem uzlaşma fırsatlarına dönüştürür.
Etkilenen modüller, veri kaynağı oluşturma, akış düzenleme ve bağlantı kuruluşu dahil olmak üzere çekirdek tableau işlevselliğini ele alarak, bu güvenlik açıklarını iş zekası operasyonları için Tableau’ya güvenen kuruluşlar için özellikle tehlikeli hale getirir.
Salesforce, tüm Tableau Server müşterilerine hemen en son desteklenen sürüme yükseltmelerini şiddetle tavsiye eder.
Düzeltmeler, 22 Temmuz 2025’te yayınlanan ve yama mevcudiyeti ile kamu açıklaması arasında bir aylık bir pencere sağlayan bakım bültenlerine dahil edildi.
Kuruluşlar, güvenilmeyen kullanıcılara veya ağlara maruz kalan yama sistemlerine öncelik vermelidir. Bu güvenlik açıklarının dosya yükleme niteliği göz önüne alındığında, yöneticiler yükseltme programları planlarken veri kaynağı oluşturma ve dosya yükleme işlevleri etrafındaki erişim kontrollerini de gözden geçirmelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!