Código HTML do Conteúdo
Post: Falhas críticas do servidor do Tableau permite uploads maliciosos de arquivos
<div>
<div>
<p>O Salesforce abordou várias vulnerabilidades críticas de segurança no Tableau Server e na área de trabalho que podem permitir que os invasores enviem arquivos maliciosos e executem código arbitrário.</p>
<p>As vulnerabilidades, divulgadas em 22 de agosto de 2025, foram identificadas proativamente durante uma avaliação de segurança e remendadas na liberação de manutenção de 22 de julho de 2025.</p>
<h2 id="h-critical-type-confusion-vulnerability"><strong>Vulnerabilidade de confusão do tipo crítico</strong></h2>
<p>A falha mais grave, CVE-2025-26496, obtém 9,6 críticos na escala CVSS e afeta os módulos de upload de arquivos em ambos <a href="https://gbhackers.com/critical-salesforce-flaws-allow-remote-code-execution/" rel="noreferrer noopener" target="_blank">Servidor Tableau </a>e desktop.</p>
<p>Esse acesso de recurso usando vulnerabilidade incompatível de tipo permite a inclusão do código local, potencialmente permitindo que os invasores executem código malicioso no contexto do aplicativo. A falha afeta as instalações do Windows e do Linux em várias versões do produto.</p>
<figure>
<table>
<thead>
<tr>
<td><strong>Cve id</strong></td>
<td><strong>Tipo de vulnerabilidade</strong></td>
<td><strong>Pontuação CVSS V3</strong></td>
<td><strong>Nível de risco</strong></td>
</tr>
</thead>
<tbody>
<tr>
<td><strong>CVE-2025-26496</strong></td>
<td>Acesso de recurso usando tipo incompatível (‘Tipo de confusão’)</td>
<td><strong>9.6</strong></td>
<td>Crítico</td>
</tr>
<tr>
<td><strong>CVE-2025-26497</strong></td>
<td>Enviado irrestrito de arquivo com tipo perigoso</td>
<td>7.7</td>
<td>Alto</td>
</tr>
<tr>
<td><strong>CVE-2025-26498</strong></td>
<td>Enviado irrestrito de arquivo com tipo perigoso</td>
<td>7.7</td>
<td>Alto</td>
</tr>
<tr>
<td><strong>CVE-2025-52450</strong></td>
<td>Limitação inadequada de um nome de caminho para um diretório restrito (‘Traversal do caminho’)</td>
<td>8.5</td>
<td>Alto</td>
</tr>
<tr>
<td><strong>CVE-2025-52451</strong></td>
<td>Validação inadequada de entrada</td>
<td>8.5</td>
<td>Alto</td>
</tr>
</tbody>
</table>
</figure>
<p>Quatro vulnerabilidades adicionais centram -se nos recursos de upload de arquivo não restritos e fraquezas atravessadas.</p>
<p>O CVE-2025-26497 e o CVE-2025-26498 carregam pontuações CVSS de 7,7 e permitem a travessia de caminho absoluto através de uploads perigosos de arquivos no editor de fluxo e estabelecer módulos de conexão-não-Undo, respectivamente.</p>
<p>Duas falhas de alta severidade, CVE-2025-52450AndCVE-2025-52451, afetam a funcionalidade Create-Data-Source-Source-Fil-File-File-File-File-File-File.</p>
<p>Ambas as vulnerabilidades pontuam 8,5 no CVSS e permitem<a href="https://gbhackers.com/progress-whatsup-gold-path-traversal-vulnerability/" rel="noreferrer noopener" target="_blank"> Traversal do caminho </a>Através de falhas inadequadas de limitação do nome do caminho e validação de entrada.</p>
<p>As vulnerabilidades impactam versões do servidor antes de 2025.1.4, 2024.2.13 e 2023.3.20. A falha de confusão do tipo também afeta as versões de desktop do Tableau correspondentes.</p>
<p>Todos os sistemas afetados são executados em plataformas Windows e Linux, com as vulnerabilidades direcionadas aos módulos específicos responsáveis ​​pelo manuseio de arquivos e criação de fonte de dados.</p>
<p>Essas vulnerabilidades criam vários vetores de ataque para atores maliciosos. A combinação de uploads de arquivos irrestritos com recursos de travessia de caminho pode permitir que os atacantes reboquem arquivos para arbitrar os locais do sistema de arquivos do servidor.</p>
<p>A falha de confusão do tipo crítico aumenta a ameaça, possibilitando a execução do código, transformando vulnerabilidades de upload de arquivos em oportunidades completas de comprometimento do sistema.</p>
<p>Os módulos afetados lidam com a funcionalidade principal do Tableau, incluindo criação de origem de dados, edição de fluxo e estabelecimento de conexão, tornando essas vulnerabilidades particularmente perigosas para organizações que dependem do Tableau para operações de inteligência de negócios.</p>
<p><a href="https://help.salesforce.com/s/articleView?id=005132575&type=1" rel="noreferrer noopener nofollow" target="_blank">Salesforce</a>aconselha fortemente todos os clientes do Tableau Server a atualizar imediatamente a versão mais recente suportada.</p>
<p>As correções foram incluídas nos lançamentos de manutenção publicados em 22 de julho de 2025, fornecendo uma janela de um mês entre a disponibilidade do patch e a divulgação pública.</p>
<p>As organizações devem priorizar os sistemas de patches expostos a usuários ou redes não confiáveis. Dada a natureza do upload de arquivo dessas vulnerabilidades, os administradores também devem revisar os controles de acesso em torno da criação de fonte de dados e funcionalidade de upload de arquivos enquanto planeja agendas de atualização.</p>
<p><strong>Encontre esta notícia interessante! Siga -nos<a href="https://news.google.com/publications/CAAqKAgKIiJDQklTRXdnTWFnOEtEV2RpYUdGamEyVnljeTVqYjIwb0FBUAE?hl=en-IN&gl=IN&ceid=IN%3Aen" rel="noreferrer noopener nofollow" target="_blank">Google News</a>Assim,<a href="https://www.linkedin.com/company/cyber-threat-intel/" rel="noreferrer noopener nofollow" target="_blank">LinkedIn</a>e<a href="https://x.com/The_Cyber_News" rel="noreferrer noopener nofollow" target="_blank">X</a>Para obter atualizações instantâneas!</strong></p>
</div></div>