Critical Tableau Server Flaws Allows Malicious File Uploads
2025/08/25 gbhackers — Salesforce が公表したのは、Tableau Server/Desktop に存在する、複数の深刻な脆弱性の修正に関する情報である。これらの脆弱性を悪用する攻撃者は、悪意のファイルをアップロードし、任意のコード実行の可能性を手にする。これらの脆弱性は、2025年8月22日に公表されたが、すでに 2025年7月22日の時点で、メンテナンス・リリースにより修正されている。
深刻なタイプ・コンフュージョンの脆弱性
最も深刻な脆弱性 CVE-2025-26496 は、CVSS 9.6 (critical) と評価されているタイプ・コンフュージョンの問題であり、複数の Windows/Linux バージョンの Tableau Server/Desktop に影響を及ぼす。この脆弱性はファイル・アップロード・モジュールに存在し、ローカル・コードのインクルードを可能にし、アプリケーション・コンテキスト内で攻撃者にコード実行を許す可能性がある。
| CVE ID | Vulnerability Type | CVSS v3 Score | Risk Level |
| CVE-2025-26496 | Access of Resource Using Incompatible Type (‘Type Confusion’) | 9.6 | Critical |
| CVE-2025-26497 | Unrestricted Upload of File with Dangerous Type | 7.7 | High |
| CVE-2025-26498 | Unrestricted Upload of File with Dangerous Type | 7.7 | High |
| CVE-2025-52450 | Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’) | 8.5 | High |
| CVE-2025-52451 | Improper Input Validation | 8.5 | High |
それに加えて4件の脆弱性が修正されたが、それらは、無制限ファイル・アップロード機能とパス・トラバーサルに関連している。
- CVE-2025-26497/CVE-2025-26498 (CVSS 7.7):Flow Editor および Establish-connection-no-undo モジュールにおける、危険なファイル・アップロードにより、絶対パス・トラバーサルが可能になる。
- CVE-2025-52450/CVE-2025-52451 (CVSS 8.5):tabdoc API の create-data-source-from-file-upload 機能に影響を及ぼすものであり、不適切なパス制限と入力検証の不備を引き起こし、絶対パス・トラバーサルが可能になる。
これらの脆弱性が影響を及ぼす範囲は、Tableau Server のバージョン 2025.1.4/2024.2.13/2023.3.20 未満となるが、タイプ・コンフュージョンの脆弱性に関しては、対応する Tableau Desktop バージョンにも影響を及ぼす。影響を受けるシステムは、すべてが Windows/Linux プラットフォーム上のものであり、これらの脆弱性により、ファイル処理やデータソース作成を担う特定モジュールが標的となる。
それに加えて、無制限のファイル・アップロードとパス・トラバーサルを組み合わせる攻撃者は、サーバのファイル・システム上の任意の場所に、ファイルを書き込む可能性を手にする。さらに、タイプ・コンフュージョンの脆弱性により、コード実行が可能となるため、ファイル・アップロードの脆弱性から、システム全体への侵害が生じる可能性がある。
影響を受けるモジュールは、データソース作成/フロー編集/接続確立などの Tableau のコア機能を処理しているため、ビジネス・インテリジェンス業務に Tableau を利用している組織は、きわめて危険な状況にある。
すべての Tableau Server ユーザーに対して Salesforce が推奨するのは、サポートされている最新バージョンへの、速やかなアップグレードである。これらの修正は、2025年7月22日に公開されたメンテナンス・リリースに含まれている。したがって、パッチの提供開始から情報の公開までに、1ヶ月の猶予期間が設けられていることになる。
ユーザー組織にとって必要なことは、信頼できないユーザーやネットワークに公開されているシステムに対して、優先的にパッチを適用することだ。さらに管理者は、アップグレード計画時に、データソース作成やファイル・アップロード機能に対する、アクセス制御の確認も行う必要がある。
Tableau Server/Desktop の脆弱性は、主にファイル処理の仕組みに起因するものである。特に深刻なのは、CVE-2025-26496 として報告された、タイプ・コンフュージョンの問題です。これは、プログラムが想定外のデータ型を誤って扱ってしまう設計上の不備であり、アプリケーション内で任意のコード実行を、攻撃者に許すという状態を生み出します。さらに、無制限のファイル・アップロードやパス・トラバーサルといった脆弱性が組み合わされると、攻撃者はシステム上の任意の場所にファイルを書き込み、そこから実行に移せる可能性が生じると、この記事は指摘しています。よろしければ、Salesforce で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.