Cloud Software GroupからSpotfire Security Advisoryがリリースされました。
本記事は日本国内で該当製品をご利用中のお客様に向けてご案内することを目的としております。
詳細については出典URLに記載のCloud Software Groupから公表されている記事をご確認ください。
SpotfireにおけるOAuth 2.0 PKCEバイパスの脆弱性
対象製品:Spotfire
リリース日:2026年7月14日
CVE識別番号:
CVE-2026-8590
CVSS v4.0 基本値:8.7(High)
(CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N)
出典URL:
https://community.spotfire.com/articles/spotfire/spotfire-security-advisory-july-14-2026-spotfire-cve-2026-8590-r3641/
影響を受ける製品
次のコンポーネントが影響を受けます。
- Spotfire Server 14.0.12もしくはそれ以前のバージョン
- Spotfire Server 14.1.0、14.2.0、14.3.0、14.4.0、14.4.1、14.4.2、 14.5.0、14.6.0、14.6.1、14.6.2
- Spotfire Server 14.7.0、14.8.0
上記の影響を受けるコンポーネントは以下の製品に含まれています。
- Spotfire Enterprise 14.0.12もしくはそれ以前のバージョン
- Spotfire Enterprise 14.4.2、14.5.0、14.6.0、14.6.1、14.6.2
- Spotfire Enterprise 14.7.0、14.8.0
- Spotfire Enterprise with External Consumers 14.0.12もしくはそれ以前のバージョン
- Spotfire Enterprise with External Consumers 14.5.0、14.6.0、14.6.1、14.6.2
- Spotfire Enterprise with External Consumers 14.7.0、14.8.0
- Spotfire on Kubernetes 4.2.0もしくはそれ以前のバージョン
- Spotfire on Kubernetes 5.0.x、6.0.x
内容
Spotfire ServerコンポーネントのOAuth 2.0認可サーバーにおける、 PKCE(Proof Key for Code Exchange)の処理に脆弱性が存在します。
影響
この脆弱性が悪用された場合、未認証の攻撃者が別のユーザーになりすます可能性があります。
なお、脆弱性の悪用には、ユーザーによる操作および特定の攻撃条件が必要です。
解決策
Cloud Software Groupより、この問題に対処するために新たなバージョンがリリースされています。
| 旧バージョン | 新バージョン |
|---|---|
| Spotfire Server 14.0.12もしくはそれ以前 | Spotfire Server 14.0.13もしくはそれ以降 |
| Spotfire Server 14.1.0、14.2.0、14.3.0、14.4.0、14.4.1、 14.4.2、14.5.0、14.6.0、14.6.1、14.6.2 | Spotfire Server 14.6.3もしくはそれ以降 |
| Spotfire Server 14.7.0、14.8.0 | Spotfire Server 15.0.0もしくはそれ以降 |
| Spotfire Enterprise 14.0.12もしくはそれ以前 | Spotfire Enterprise 14.0.13もしくはそれ以降 |
| Spotfire Enterprise 14.4.2、14.5.0、14.6.0、14.6.1、14.6.2 | Spotfire Enterprise 14.6.3もしくはそれ以降 |
| Spotfire Enterprise 14.7.0、14.8.0 | Spotfire Enterprise 15.0.0もしくはそれ以降 |
| Spotfire Enterprise with External Consumers 14.0.12もしくはそれ以前 | Spotfire Enterprise with External Consumers 14.0.13もしくはそれ以降 |
| Spotfire Enterprise with External Consumers 14.5.0、14.6.0、 14.6.1、14.6.2 | Spotfire Enterprise with External Consumers 14.6.3もしくはそれ以降 |
| Spotfire Enterprise with External Consumers 14.7.0、14.8.0 | Spotfire Enterprise with External Consumers 15.0.0もしくはそれ以降 |
| Spotfire on Kubernetes 4.2.0もしくはそれ以前 | Spotfire on Kubernetes 4.3.0もしくはそれ以降 |
| Spotfire on Kubernetes 5.0.x、6.0.x | Spotfire on Kubernetes 7.0.0もしくはそれ以降 |