Cloud Software GroupからSecurity Advisoryがリリースされました。
本記事は日本国内で該当製品をご利用中のお客様に向けてご案内することを目的としております。
詳細については出典URLに記載のCloud Software Groupから公表されている記事をご確認ください。
※「Spotfire Enterprise」はCloud Software Groupで新たに展開を開始しているSpotfireのパッケージですが、日本国内での提供については協議中です(2025年7月28日現在)。本コンポーネントに関連する対応については、TIBCOサポートお問い合わせフォームまでご連絡ください。
Spotfireにおける不適切な権限設定の脆弱性
対象製品:Spotfire
リリース日:2025年7月8日
CVE識別番号:
CVE-2025-7041
CVSS v4.0 基本値:8.7
(CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)
出典URL:
https://community.spotfire.com/articles/spotfire/spotfire-security-advisory-july-08-2025-spotfire-cve-2025-7041-r3527
影響を受ける製品
次のコンポーネントが影響を受けます。
- Spotfire Enterprise Runtime for R - Server Edition 1.17.7もしくはそれ以前のバージョン、および 1.18.0, 1.19.0, 1.20.0, 1.21.0, 1.21.1, 1.21.2
- Spotfire Service for Python 1.17.7もしくはそれ以前のバージョン、および 1.18.0, 1.19.0, 1.20.0, 1.21.0, 1.21.1, 1.21.2
- Spotfire Service for R 1.17.7もしくはそれ以前のバージョン、および 1.18.0, 1.19.0, 1.20.0, 1.21.0, 1.21.1, 1.21.2
上記の影響を受けるコンポーネントは以下の製品に含まれています。
- Spotfire Statistics Services 14.0.7もしくはそれ以前のバージョン、および14.1.0, 14.2.0, 14.3.0, 14.4.0, 14.4.1, 14.4.2
- Spotfire Enterprise 14.0.1もしくはそれ以前のバージョン、および14.4.2
内容
Linux環境で、コンテナ化されたサービスとして動作する対象製品には、ユーザーが本来持つべき以上の権限を取得できてしまう「権限昇格」の脆弱性が存在します。
影響
この脆弱性が悪用された場合、攻撃者はシステムの動作を不正に操作できる可能性があり、サービスの停止や任意のコード実行につながる可能性があります。
解決策
Cloud Software Groupより、この問題に対処するために新たなバージョンがリリースされています。
| 旧バージョン | 新バージョン |
|---|---|
| Spotfire Enterprise Runtime for R - Server Edition 1.17.7もしくはそれ以前 | Spotfire Enterprise Runtime for R - Server Edition 1.17.8、もしくはそれ以降 |
| Spotfire Enterprise Runtime for R - Server Edition 1.18.0、1.19.0、1.20.0、1.21.0、1.21.1、1.21.2 | Spotfire Enterprise Runtime for R - Server Edition 1.22.0、もしくはそれ以降 |
| Spotfire Service for Python 1.17.7もしくはそれ以前 | Spotfire Service for Python 1.17.8もしくはそれ以降 |
| Spotfire Service for Python 1.18.0、1.19.0、1.20.0、1.21.0、1.21.1、1.21.2 | Spotfire Service for Python 1.22.0 もしくはそれ以降 |
| Spotfire Service for R 1.17.7もしくはそれ以前 | Spotfire Service for R 1.17.8 もしくはそれ以降 |
| Spotfire Service for R 1.18.0、1.19.0、1.20.0、1.21.0、1.21.1、1.21.2 | Spotfire Service for R 1.22.0 もしくはそれ以降 |
| Spotfire Statistics Services 14.0.7もしくはそれ以前 | Spotfire Statistics Services 14.0.8もしくはそれ以降 |
| Spotfire Statistics Services 14.1.0, 14.2.0, 14.3.0, 14.4.0, 14.4.1, 14.4.2 | Spotfire Statistics Services 14.5.0もしくはそれ以降 |
| Spotfire Enterprise 14.0.1もしくはそれ以前 | Spotfire Enterprise 14.0.8もしくはそれ以降 |
| Spotfire Enterprise 14.4.2もしくはそれ以前 | Spotfire Enterprise 14.5.0もしくはそれ以降 |