TIBCO社からSecurity Advisoryがリリースされました。
本記事は日本国内で該当製品をご利用中のお客様に向けてご案内することを目的としております。
詳細については出典URLに記載のTIBCO社から公表されている記事をご確認ください。
TIBCO Spotfire Server Blind SSRFに関する脆弱性
対象製品:TIBCO Spotfire
リリース日:2022年09月20日
CVE識別番号:CVE-2022-30579
CVSS v3 基本値:7.1(CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:H/A:L)
出典URL:https://www.tibco.com/support/advisories/2022/09/tibco-security-advisory-september-20-2022-tibco-spotfire-cve-2022-30579
影響を受ける製品
- TIBCO Spotfire Server 12.0.0
次のコンポーネントが影響を受けます。
- Web Player
内容
上記のコンポーネントには、ネットワークアクセス権を持つ低権限の攻撃者が、影響を受けるシステム上でブラインドサーバーサイドリクエストフォージェリ(SSRF)を実行できる脆弱性が存在します。
影響
この脆弱性の悪用に成功すると、Spotfire Server のデータに対する不正な更新、挿入、削除が可能になり、部分的なサービス拒否(DoS)を引き起こす可能性があります。また、この脆弱性を利用すると、攻撃者が脆弱性のあるシステム以外のリソースにアクセスできるようになる可能性があります。
解決策
TIBCO 社より、この問題に対処するために新たなバージョンがリリースされています。
旧バージョン | 新バージョン |
---|---|
TIBCO Spotfire Server 12.0.0 |
TIBCO Spotfire Server 12.0.1、もしくはそれ以降 |