TIBCOからSecurity Advisoryがリリースされました。
本記事は日本国内で該当製品をご利用中のお客様に向けてご案内することを目的としております。
詳細については出典URLに記載のTIBCOから公表されている記事をご確認ください。
TIBCO Spotfireにおける無制限ファイルアップロードの脆弱性について
対象製品:TIBCO Spotfire Statistics Services
リリース日:2023年04月18日
CVE識別番号:CVE-2023-29268
CVSS v3.1 基本値:9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
出典URL:https://support.tibco.com/s/article/Security-Advisory-regarding-TIBCO-Spotfire
影響を受ける製品
- TIBCO Spotfire Statistics Services 11.4.10、もしくはそれ以前のバージョン
- TIBCO Spotfire Statistics Services 11.5.0、11.6.0、11.6.1、11.6.2、11.7.0、11.8.0、11.8.1、12.0.0、 12.0.1、12.0.2
- TIBCO Spotfire Statistics Services 12.1.0、12.2.0
次のコンポーネントが影響を受けます。
- Splus Server
内容
TIBCO Spotfire Splus Serverには、認証されていない遠隔の攻撃者が、影響を受けるシステム上のWebサーバディレクトリ内の任意のファイルをアップロードまたは変更できる脆弱性があります。
影響
この脆弱性を利用することで、攻撃者によりアップロードされたファイルや変更されたファイルが、システムへのアクセスを許可するウェブサーバプロセスの範囲内で実行される可能性があります。
解決策
TIBCOより、この問題に対処するために新たなバージョンがリリースされています。
旧バージョン | 新バージョン |
---|---|
TIBCO Spotfire Statistics Services 11.4.10、もしくはそれ以前 |
TIBCO Spotfire Statistics Services 11.4.11、もしくはそれ以降 |
TIBCO Spotfire Statistics Services 11.5.0、11.6.0、11.6.1、11.6.2、11.7.0、11.8.0、11.8.1、12.0.0、 12.0.1、12.0.2 |
TIBCO Spotfire Statistics Services 12.0.3、もしくはそれ以降 |
TIBCO Spotfire Statistics Services 12.1.0、12.2.0 |
TIBCO Spotfire Statistics Services 12.3.0、もしくはそれ以降 |