TIBCOからSecurity Advisoryがリリースされました。
本記事は日本国内で該当製品をご利用中のお客様に向けてご案内することを目的としております。
詳細については出典URLに記載のTIBCOから公表されている記事をご確認ください。
TIBCO Spotfireにおける認証情報の保護が不十分な脆弱性について
対象製品:TIBCO Spotfire
リリース日:2023年11月8日
CVE識別番号:CVE-2023-26221
CVSS v3 基本値:5.0 (CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
出典URL:https://www.tibco.com/support/advisories/2023/11/tibco-security-advisory-november-8-2023-tibco-spotfire-cve-2023-26221
影響を受ける製品
- TIBCO Spotfire Server 12.3.0、12.4.0、12.5.0
- TIBCO Spotfire Analyst 12.3.0、12.4.0、12.5.0
次のコンポーネントが影響を受けます。
- Spotfire Connectors
内容
上記のコンポーネントには、読み取り/書き込み権を持つ低権限の攻撃者が、悪意のあるAnalystファイルを作成することができる脆弱性が含まれています。本脆弱性を利用した攻撃を成功させるには、攻撃者以外の人による操作が必要です。
影響
この脆弱性の影響は、攻撃者が承認されたユーザーのアクセストークンを取得できるようになることです。
解決策
TIBCOより、この問題に対処するために新たなバージョンがリリースされています。
旧バージョン | 新バージョン |
---|---|
TIBCO Spotfire Analyst 12.3.0、12.4.0、12.5.0 |
Spotfire Analyst 14.0.0 もしくはそれ以降 |
TIBCO Spotfire Server 12.3.0、12.4.0、12.5.0 |
Spotfire Server 14.0.0 もしくはそれ以降 |