メインコンテンツへスキップ

Security Advisory: April 08, 2025 -Spotfire -CVE-2025-3114

  • 更新

    Cloud Software GroupからSecurity Advisoryがリリースされました。
    本記事は日本国内で該当製品をご利用中のお客様に向けてご案内することを目的としております。
    詳細については出典URLに記載のCloud Software Groupから公表されている記事をご確認ください。

    Spotfireにおけるコード実行の脆弱性について

    対象製品:Spotfire
    リリース日:2025年04月08日
    CVE識別番号:CVE-2025-3114
    CVSS v4.0 基本値:9.4 (Critical) (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)
    出典URL:https://community.spotfire.com/articles/spotfire/spotfire-security-advisory-april-08-2025-spotfire-cve-2025-3114-r3484/

     

    影響を受ける製品

    • Spotfire Enterprise Runtime for R 6.1.4 、もしくはそれ以前のバージョン
    • Spotfire Statistics Services 14.0.6、もしくはそれ以前のバージョン
    • Spotfire Statistics Services 14.1.0, 14.2.0, 14.3.0, 14.4.0, 14.4.1
    • Spotfire Enterprise Runtime for R - Server Edition 1.17.6、もしくはそれ以前のバージョン
    • Spotfire Enterprise Runtime for R - Server Edition 1.18.0, 1.19.0, 1.20.0, 1.21.0, 1.21.1
    • Spotfire Analyst 14.0.5、もしくはそれ以前のバージョン
    • Spotfire Analyst 14.1.0, 14.2.0, 14.3.0, 14.4.0, 14.4.1
    • Spotfire Server 14.0.6で使用されているデプロイメントキット、もしくはそれ以前のバージョン
    • Spotfire Server 14.1.0, 14.2.0, 14.3.0, 14.4.0, 14.4.1で使用されているデプロイメントキット
    • Spotfire Desktop 14.4.1 、もしくはそれ以前のバージョン

     

    内容

    以下は、Spotfire で特定された、攻撃者が任意のコードを実行できる可能性のある脆弱性です。

    悪意あるファイルによるコード実行のリスク:攻撃者が細工したファイルを作成し、適切なセキュリティチェックが行われないままコードが実行されることで、システムが侵害される可能性があります。

    サンドボックス回避の脆弱性:TERR(SpotfireのRエンジン)のセキュリティ機構に欠陥があり、本来制限されるべき「信頼されていないコード」が制御を受けずに実行されてしまう恐れがあります。

     

    影響

    これらの脆弱性を悪用すると、攻撃者が任意のコードを実行し、セキュリティ制御を回避し、システムを侵害する可能性があります。

     

    解決策

    Cloud Software Groupより、この問題に対処するために新たなバージョンがリリースされています。

    旧バージョン 新バージョン

    Spotfire Enterprise Runtime for R 6.1.4 、もしくはそれ以前

    Spotfire Enterprise Runtime for R 6.1.5 、もしくはそれ以降

    Spotfire Statistics Services 14.0.6、もしくはそれ以前

    Spotfire Statistics Services 14.0.7、もしくはそれ以降

    Spotfire Statistics Services 14.1.0, 14.2.0, 14.3.0, 14.4.0, 14.4.1

    Spotfire Statistics Services 14.4.2 、もしくはそれ以降

    Spotfire Enterprise Runtime for R - Server Edition 1.17.6、もしくはそれ以前

    Spotfire Enterprise Runtime for R - Server Edition 1.17.7、もしくはそれ以降

    Spotfire Enterprise Runtime for R - Server Edition 1.18.0, 1.19.0, 1.20.0, 1.21.0, 1.21.1

    Spotfire Enterprise Runtime for R - Server Edition 1.21.2、もしくはそれ以降

    Spotfire Analyst 14.0.5、もしくはそれ以前

    Spotfire Analyst 14.0.6、もしくはそれ以降

    Spotfire Analyst 14.1.0, 14.2.0, 14.3.0, 14.4.0, 14.4.1

    Spotfire Analyst 14.4.2、もしくはそれ以降

    Spotfire Server 14.0.6で使用されているデプロイメントキット、もしくはそれ以前

    Spotfire Server 14.0.7以降のデプロイメントキットを適用

    Spotfire Server 14.1.0, 14.2.0, 14.3.0, 14.4.0, 14.4.1で使用されているデプロイメントキット

    Spotfire Server 14.4.2以降のデプロイメントキットを適用

    Spotfire Desktop 14.4.1 、もしくはそれ以前

    Spotfire Desktop 14.4.2、もしくはそれ以降