Tableau Server高危漏洞允许攻击者上传任意恶意文件
💡
原文中文,约1700字,阅读约需5分钟。
📝
内容提要
Tableau Server 存在严重安全漏洞 CVE-2025-26496,允许攻击者上传恶意文件并执行代码,影响多个版本。建议立即升级以修复此漏洞,防止数据泄露和系统被攻陷。
🎯
关键要点
- Tableau Server 存在严重安全漏洞 CVE-2025-26496,允许攻击者上传恶意文件并执行代码。
- 该漏洞影响多个版本的 Tableau Server 和 Tableau Desktop,CVSS 评分为 9.6 分。
- 建议立即升级所有受影响的 Tableau Server 版本以修复漏洞。
- Salesforce 安全团队发现五个独立漏洞,最严重的漏洞涉及文件上传模块中的资源类型混淆问题。
- 其他高危漏洞包括 CVE-2025-26497 和 CVE-2025-26498,均涉及危险类型文件无限制上传问题。
- 路径遍历漏洞 CVE-2025-52450 和 CVE-2025-52451 影响 tabdoc API 的 create-data-source-from-file-upload 模块。
- 攻击者可利用这些漏洞实施目录遍历攻击,访问敏感系统文件。
- 组织必须立即升级至最新维护版本,并审查可疑的文件上传活动。
- 安全团队应配置 Web 应用防火墙规则检测路径遍历尝试,并在打补丁后执行安全评估。
➡️
