TIBCOからSecurity Advisoryがリリースされました。
本記事は日本国内で該当製品をご利用中のお客様に向けてご案内することを目的としております。
詳細については出典URLに記載のTIBCOから公表されている記事をご確認ください。
TIBCO Spotfireにおけるクロスサイトスクリプティングの脆弱性について
対象製品:TIBCO Spotfire
リリース日:2023年10月10日
CVE識別番号:CVE-2023-26220
CVSS v3.1 基本スコア: 5.4 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)
出典URL:https://www.tibco.com/support/advisories/2023/10/tibco-security-advisory-october-10-2023-tibco-spotfire-cve-2023-26220
影響を受ける製品
- TIBCO Spotfire Analyst 11.4.7 もしくはそれ以前のバージョン
- TIBCO Spotfire Analyst 11.5.0, 11.6.0, 11.7.0, 11.8.0, 12.0.0, 12.0.1, 12.0.2, 12.0.3, 12.0.4
- TIBCO Spotfire Analyst 12.1.0, 12.1.1
- TIBCO Spotfire Server 11.4.11 もしくはそれ以前のバージョン
- TIBCO Spotfire Server 11.5.0, 11.6.0, 11.6.1, 11.6.2, 11.6.3, 11.7.0, 11.8.0, 11.8.1, 12.0.0, 12.0.1, 12.0.2, 12.0.3, 12.0.4, 12.0.5
- TIBCO Spotfire Server 12.1.0, 12.1.1
次のコンポーネントが影響を受けます。
- Spotfire Library
内容
上記のコンポーネントには、ネットワークにアクセスできる低権限の攻撃者が、影響を受けるシステム上で蓄積型クロスサイトスクリプティング(XSS)を実行できる脆弱性が含まれています。 本脆弱性を利用した攻撃を成功させるには、攻撃者以外の人による操作が必要です。
影響
この脆弱性の影響は、攻撃者が被害者のユーザの権限で[Web]サービスを呼び出すことが可能になることです。
解決策
TIBCOより、この問題に対処するために新たなバージョンがリリースされています。
旧バージョン | 新バージョン |
---|---|
TIBCO Spotfire Analyst 11.4.7 もしくはそれ以前 |
TIBCO Spotfire Analyst 11.4.8 もしくはそれ以降 |
TIBCO Spotfire Analyst 11.5.0, 11.6.0, 11.7.0, 11.8.0, 12.0.0, 12.0.1, 12.0.2, 12.0.3, 12.0.4 |
TIBCO Spotfire Server 12.0.5 もしくはそれ以降 |
TIBCO Spotfire Analyst 12.1.0, 12.1.1 |
TIBCO Spotfire Analyst 12.5.0 もしくはそれ以降 |
TIBCO Spotfire Server 11.4.11 もしくはそれ以前 |
TIBCO Spotfire Server 11.4.12 もしくはそれ以降 |
TIBCO Spotfire Server 11.5.0, 11.6.0, 11.6.1, 11.6.2, 11.6.3, 11.7.0, 11.8.0, 11.8.1, 12.0.0, 12.0.1, 12.0.2, 12.0.3, 12.0.4, 12.0.5 |
TIBCO Spotfire Server 12.0.6 もしくはそれ以降 |
TIBCO Spotfire Server 12.1.0, 12.1.1 |
TIBCO Spotfire Server 12.5.0 もしくはそれ以降 |