Tableau Server 2023.3.x < 2023.3.19 / 2024.2.x < 2024.2.12 / 2025.1.x < 2025.1.3 多个漏洞 (005105043)
high Nessus 插件 ID 243182
语言:
简介
远程主机上安装的 Tableau Server 实例受到多种漏洞的影响。描述
远程主机上安装的 Tableau Server 版本低于 2023.3.19、 2024.2.12 和 2025.1.3。因此如公告 005105043 所述受到多个漏洞的影响。- Windows、Linux 中 的 销售人员 Tableau Server 中的受限制目录“路径遍历”漏洞不当限制路径名称 (tabdoc api - duplicate-data-source 模块) 允许绝对路径遍历。 (CVE-2025-52452)
- Windows、Linux 中 的 销售团队 Tableau Server(流程数据源模块)中的服务器端请求伪造 (SSRF) 漏洞允许资源位置欺骗。 (CVE-2025-52453)
- Windows、Linux 上 的 销售团队 Tableau Server(Amazon S3 连接器模块)中的服务器端请求伪造 (SSRF) 漏洞允许资源位置欺骗。 (CVE-2025-52454)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
将 Tableau Server 升级到 2023.3.19、 2024.2.12、 2025.1.3 或更高版本另见
https://help.salesforce.com/s/articleView?id=005105043&type=1
插件详情
严重性: High
ID: 243182
文件名: tableau_server_005105043.nasl
版本: 1.2
类型: remote
系列: Misc.
发布时间: 2025/7/30
最近更新时间: 2025/8/1
支持的传感器: Nessus
风险信息
VPR
风险因素: High
分数: 7.3
CVSS v2
风险因素: High
基本分数: 7.1
矢量: CVSS2#AV:N/AC:H/Au:S/C:C/I:C/A:C
CVSS 分数来源: CVE-2025-52452
CVSS v3
风险因素: High
基本分数: 8.5
矢量: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
漏洞信息
CPE: cpe:/a:tableau:tableau_server
必需的 KB 项: installed_sw/Tableau Server
补丁发布日期: 2025/7/25
漏洞发布日期: 2025/7/25
参考资料信息
CVE: CVE-2025-52446, CVE-2025-52447, CVE-2025-52448, CVE-2025-52449, CVE-2025-52452, CVE-2025-52453, CVE-2025-52454, CVE-2025-52455
IAVB: 2025-B-0125