Cloud Software GroupからSecurity Advisoryがリリースされました。
本記事は日本国内で該当製品をご利用中のお客様に向けてご案内することを目的としております。
詳細については出典URLに記載のCloud Software Groupから公表されている記事をご確認ください。
Spotfireにおけるリモートコード実行の脆弱性について
対象製品:Spotfire
リリース日:2024年6月26日
CVE識別番号:CVE-2024-3330
CVSS v3 基本値:9.9 (Critical) (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)
出典URL:https://community.spotfire.com/articles/spotfire/spotfire-security-advisory-june-262024-spotfire-cve-2024-3330-r3435/
影響を受ける製品
- Spotfire Analyst 12.0.9、もしくはそれ以前のバージョン
- Spotfire Analyst 12.1.0、12.1.1、12.2.0、12.3.0、12.4.0、12.5.0、14.0.0、14.0.1、14.0.2
- Spotfire Analyst 14.1.0、14.2.0、14.3.0
- Spotfire Server 12.0.10、もしくはそれ以前のバージョン
- Spotfire Server 12.1.0、12.1.1、12.2.0、12.3.0、12.4.0、12.5.0、14.0.0、14.0.1、14.0.2、14.0.3
- Spotfire Server 14.2.0、14.3.0
次のコンポーネントが影響を受けます。
- Spotfire Analyst
- Spotfire Web Player
- Spotfire Automation Services
内容
上記のコンポーネントには、読み取り/書き込みアクセス権を持つ権限の低い攻撃者が、悪意のあるAnalystファイルを作成できる脆弱性が含まれています。本脆弱性の実行に成功すると、攻撃者は Spotfire Client を実行しているホスト上で任意のコードを実行し、リモート コード実行が可能になります。
影響
a)インストールされた Windows クライアントの場合:この脆弱性の実行に成功すると、攻撃者は任意のコードを実行できるようになります。これには、攻撃者以外の人物による人的介入が必要です。
b) Web Player (Business Author) の場合:Web Player経由でこの脆弱性の実行に成功すると、攻撃者は Web Player プロセスを実行しているアカウントとして任意のコードを実行できるようになります。
c) Automation Services の場合:この脆弱性の実行に成功すると、攻撃者は Automation Services 経由で任意のコードを実行できるようになります。
解決策
Cloud Software Groupより、この問題に対処するために新たなバージョンがリリースされています。
旧バージョン | 新バージョン |
---|---|
Spotfire Analyst 12.0.9、もしくはそれ以前 |
Spotfire Analyst 12.0.10、もしくはそれ以降 |
Spotfire Analyst 12.1.0、12.1.1、12.2.0、12.3.0、12.4.0、12.5.0、14.0.0、14.0.1、14.0.2 |
Spotfire Analyst 14.0.3、もしくはそれ以降 |
Spotfire Analyst 14.1.0、14.2.0、14.3.0 |
Spotfire Analyst 14.4.0 |
Spotfire Server 12.0.10、もしくはそれ以前 |
Spotfire Server 12.0.11 |
Spotfire Server 12.1.0、12.1.1、12.2.0、12.3.0、 12.4.0、12.5.0、14.0.0、14.0.1、14.0.2、14.0.3 |
Spotfire Server 14.0.4、もしくはそれ以降 |
Spotfire Server 14.2.0、14.3.0 |
Spotfire Server 14.4.0 |