Critical Vulnerabilities in Spotfire Products Allow Code Execution (CVE-2025-3114, CVE-2025-3115)
2025/04/11 SecurityOnline — Cloud Software Group が公開したのは、任意のコード実行やシステム侵害を許す可能性のある、Spotfire 製品の深刻な脆弱性に対するセキュリティ・アドバイザリである。このアドバイザリでは、脆弱性 CVE-2025-3114/CVE-2025-3115 ついて、詳細が説明されている。
CVE-2025-3114:Spotfire におけるコード実行の脆弱性
この脆弱性を悪用する攻撃者は、細工されたファイルを作成し、そこに埋め込んだコートを、適切なセキュリティ検証なしに実行する機会を得る。それにより、システム侵害につながる可能性がある。また、TERR セキュリティ・メカニズムの欠陥により、サンドボックスの制限を回避する攻撃者が、適切な制御を回避して信頼できないコードを実行する可能性も生じる。
この脆弱性の悪用に成功した攻撃者は、任意のコード実行/セキュリティ制御の回避/システムの侵害を達成する可能性を手にする。この脆弱性の深刻度は、CVSS v4.0 のベース・スコアで 9.4 と評価されている。
この脆弱性は、以下の Spotfire 製品に影響を及ぼす。
- Spotfire Statistics Services
- Spotfire Analyst
- Deployment Kit used in Spotfire Server
- Spotfire Desktop
- Spotfire for AWS Marketplace
CVE-2025-3115:Spotfire Functions の脆弱性
この脆弱性は、上記の製品群に加えて、Spotfire Service for Python および Spotfire Service for R なども含む、幅広い Spotfire 製品に影響を及ぼす。
Spotfireの Functions に存在する、この脆弱性を悪用する攻撃者は、インジェクションを許す欠陥と、アップロードされるファイルの名前の不適切な検証を介して、システムを侵害する可能性を手にする。
この脆弱性の悪用に成功した攻撃者は、悪意のコード挿入/実行環境の制御/適切に検証されないファイル・アップロードを介して、任意のファイル実行を達成する機会を得る。この脆弱性の深刻度は、CVSS v4.0 のベース・スコアで 9.4 と評価されている。
緩和策
すでに Cloud Software Group は、影響を受けるシステムの更新版をリリースし、これらの脆弱性に対処している。ユーザーに対して強く推奨されるのは、修正版への速やかなアップグレードである。
データ分析および製造業におけるBI ツールである Spotfire 製品群に、CVSS v4.0 値が 9.4 の深刻な脆弱性が発生しています。あらゆるデータが集まる BI ツールは、攻撃者にとって格好の標的となり得ます。ご利用のチームは、アップグレードをお急ぎください。よろしければ、BI で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.