TIBCO社からSecurity Advisoryがリリースされました。
本記事は日本国内で該当製品をご利用中のお客様に向けてご案内することを目的としております。
詳細については出典URLに記載のTIBCO社から公表されている記事をご確認ください。
TIBCO Spotfire 格納型クロスサイトスクリプティング(XSS)の脆弱性について
対象製品:TIBCO Spotfire Analyst, TIBCO Spotfire Desktop, TIBCO Spotfire Server
リリース日:2022年11月15日
CVE識別番号:CVE-2022-41558
CVSS v3 基本値:9.0 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H)
出典URL:https://www.tibco.com/support/advisories/2022/11/tibco-security-advisory-november-15-2022-tibco-spotfire-cve-2022-41558
影響を受ける製品
- TIBCO Spotfire Analyst 11.4.4、もしくはそれ以前のバージョン
- TIBCO Spotfire Analyst 11.5.0, 11.6.0, 11.7.0, 11.8.0, 12.0.0, 12.0.1
- TIBCO Spotfire Analyst 12.1.0
- TIBCO Spotfire Desktop 11.4.4、もしくはそれ以前のバージョン
- TIBCO Spotfire Desktop 11.5.0, 11.6.0, 11.7.0, 11.8.0, 12.0.0, 12.0.1
- TIBCO Spotfire Desktop 12.1.0
- TIBCO Spotfire Server 11.4.8、もしくはそれ以前のバージョン
- TIBCO Spotfire Server 11.5.0, 11.6.0, 11.6.1, 11.6.2, 11.6.3, 11.7.0, 11.8.0, 11.8.1, 12.0.0, 12.0.1
- TIBCO Spotfire Server 12.1.0
次のコンポーネントが影響を受けます。
- ビジュアライゼーション
内容
上記のコンポーネントには、ネットワークにアクセス可能な低権限の攻撃者が、影響を受けるシステム上で 格納型クロスサイトスクリプティング (XSS) を実行できる、容易に悪用可能な脆弱性が存在します。この脆弱性を利用した攻撃を成功させるには、攻撃者以外の人による操作が必要です。
影響
これらの脆弱性の実行に成功すると、攻撃者は影響を受けるユーザーの権限でコマンドを実行することができるようになります。
解決策
TIBCO 社より、この問題に対処するために新たなバージョンがリリースされています。
旧バージョン | 新バージョン |
---|---|
TIBCO Spotfire Analyst 11.4.4 もしくはそれ以前 |
TIBCO Spotfire Analyst 11.4.5 もしくはそれ以降 |
TIBCO Spotfire Analyst 11.5.0, 11.6.0, 11.7.0, 11.8.0, 12.0.0, 12.0.1 |
TIBCO Spotfire Analyst 12.0.2 もしくはそれ以降 |
TIBCO Spotfire Analyst 12.1.0 |
TIBCO Spotfire Analyst 12.1.1 もしくはそれ以降 |
TIBCO Spotfire Desktop 11.4.4 もしくはそれ以前 |
TIBCO Spotfire Desktop 11.4.5 もしくはそれ以降 |
TIBCO Spotfire Desktop 11.5.0, 11.6.0, 11.7.0, 11.8.0, 12.0.0, 12.0.1 |
TIBCO Spotfire Desktop 12.0.2 もしくはそれ以降 |
TIBCO Spotfire Desktop 12.1.0 |
TIBCO Spotfire Desktop12.1.1 もしくはそれ以降 |
TIBCO Spotfire Server 11.4.8 もしくはそれ以前 |
TIBCO Spotfire Server 11.4.9 もしくはそれ以降 |
TIBCO Spotfire Server 11.5.0, 11.6.0, 11.6.1, 11.6.2, 11.6.3, 11.7.0, 11.8.0, 11.8.1, 12.0.0, 12.0.1 |
TIBCO Spotfire Server 12.0.2 もしくはそれ以降 |
TIBCO Spotfire Server 12.1.0 |
TIBCO Spotfire Server 12.1.1 もしくはそれ以降 |