メインコンテンツへスキップ

Security Advisory: April 08, 2025 -Spotfire -CVE-2025-3115

  • 更新

    Cloud Software GroupからSecurity Advisoryがリリースされました。
    本記事は日本国内で該当製品をご利用中のお客様に向けてご案内することを目的としております。
    詳細については出典URLに記載のCloud Software Groupから公表されている記事をご確認ください。

    Spotfireにおけるデータ関数機能の脆弱性について

    対象製品:Spotfire
    リリース日:2025年04月08日
    CVE識別番号:CVE-2025-3115
    CVSS v4.0 基本値:9.4 (Critical) (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)
    出典URL:https://community.spotfire.com/articles/spotfire/spotfire-security-advisory-april-08-2025-spotfire-cve-2025-3115-r3485/

     

    影響を受ける製品

    • Spotfire Statistics Services 14.0.6、もしくはそれ以前のバージョン

    • Spotfire Statistics Services 14.1.0, 14.2.0, 14.3.0, 14.4.0, 14.4.1

    • Spotfire Enterprise Runtime for R - Server Edition 1.17.6、もしくはそれ以前のバージョン

    • Spotfire Enterprise Runtime for R - Server Edition 1.18.0, 1.19.0, 1.20.0, 1.21.0, 1.21.1

    • Spotfire Service for Python 1.17.6、もしくはそれ以前のバージョン

    • Spotfire Service for Python 1.18.0, 1.19.0, 1.20.0, 1.21.0, 1.21.1

    • Spotfire Service for R 1.17.6、もしくはそれ以前のバージョン

    • Spotfire Service for R 1.18.0, 1.19.0, 1.20.0, 1.21.0, 1.21.1

    • Spotfire Analyst 14.0.5、もしくはそれ以前のバージョン

    • Spotfire Analyst 14.1.0, 14.2.0, 14.3.0, 14.4.0, 14.4.1

    • Spotfire Server 14.0.6で使用されているデプロイメントキット、もしくはそれ以前のバージョン

    • Spotfire Server 14.1.0, 14.2.0, 14.3.0, 14.4.0, 14.4.1で使用されているデプロイメントキット

    • Spotfire Desktop 14.4.1、もしくはそれ以前のバージョン

     

    内容

    Spotfire のデータ関数に脆弱性が見つかりました。これにより、攻撃者がさまざまな方法でシステムを悪用する可能性があります。

    インジェクション脆弱性:攻撃者は悪意のあるコードを挿入して、これらの関数を実行するシステムを制御できる可能性があります。
    さらに、ファイルのアップロード中にファイル名の検証が不十分なため、攻撃者は悪意のあるファイルをアップロードして実行し、任意のコードの実行につながる可能性があります。

     

    影響

    データ関数内のこれらの脆弱性を悪用すると、攻撃者が悪意のあるコードを挿入し、実行環境を制御し、不適切に検証されたファイルのアップロードを通じて任意のファイルを実行する可能性があります。

     

    解決策

    Cloud Software Groupより、この問題に対処するために新たなバージョンがリリースされています。

    旧バージョン 新バージョン
    Spotfire Statistics Services 14.0.6、もしくはそれ以前 Spotfire Statistics Services 14.0.7、もしくはそれ以降
    Spotfire Statistics Services 14.1.0, 14.2.0, 14.3.0, 14.4.0, 14.4.1 Spotfire Statistics Services  14.4.2、もしくはそれ以降
    Spotfire Enterprise Runtime for R - Server Edition 1.17.6、もしくはそれ以前 Spotfire Enterprise Runtime for R - Server Edition 1.17.7、もしくはそれ以降
    Spotfire Enterprise Runtime for R - Server Edition 1.18.0, 1.19.0, 1.20.0, 1.21.0, 1.21.1 Spotfire Enterprise Runtime for R - Server Edition 1.21.2、もしくはそれ以降
    Spotfire Service for Python 1.17.6、もしくはそれ以前 Spotfire Service for Python 1.17.7、もしくはそれ以降
    Spotfire Service for Python 1.18.0, 1.19.0, 1.20.0, 1.21.0, 1.21.1 Spotfire Service for Python 1.21.2、もしくはそれ以降
    Spotfire Service for R 1.17.6、もしくはそれ以前 Spotfire Service for R 1.17.7、もしくはそれ以降
    Spotfire Service for R 1.18.0, 1.19.0, 1.20.0, 1.21.0, 1.21.1 Spotfire Service for R 1.21.2、もしくはそれ以降
    Spotfire Analyst 14.0.5、もしくはそれ以前 Spotfire Analyst 14.0.6、もしくはそれ以降
    Spotfire Analyst 14.1.0, 14.2.0, 14.3.0, 14.4.0, 14.4.1 Spotfire Analyst 14.4.2、もしくはそれ以降
    Spotfire Server 14.0.6で使用されているデプロイメントキット、もしくはそれ以前 Spotfire Server 14.0.7以降のデプロイメントキットを適用
    Spotfire Server 14.1.0, 14.2.0, 14.3.0, 14.4.0, 14.4.1で使用されているデプロイメントキット Spotfire Server 14.4.2以降のデプロイメントキットを適用
    Spotfire Desktop 14.4.1、もしくはそれ以前 Spotfire Desktop 14.4.2、もしくはそれ以降