Компания Salesforce выпустила экстренные патчи для устранения нескольких критических уязвимостей в Tableau Server и Tableau Desktop, которые позволяли злоумышленникам загружать вредоносные файлы и выполнять произвольный код. Уязвимости, официально опубликованные 22 августа 2025 года, были обнаружены в ходе внутренней оценки безопасности и устранены еще месяцем ранее - в обновлении от 22 июля.
Детали уязвимостей
Самая серьезная из обнаруженных проблем - CVE-2025-26496 - получила оценку 9,6 по шкале CVSS v3 и классифицирована как критическая. Это уязвимость типа «обращение к ресурсу с использованием несовместимого типа» (type confusion), затрагивающая модули загрузки файлов как в Tableau Server, так и в Tableau Desktop. Её эксплуатация может привести к включению и выполнению локального кода в контексте приложения, что создает угрозу полного компрометации системы. Уязвимость затрагивает установки под управлением Windows и Linux в нескольких версиях продукта.
Помимо этого, были выявлены ещё четыре уязвимости высокой степени серьезности. CVE-2025-26497 и CVE-2025-26498 (оценка CVSS 7,7) связаны с неограниченной загрузкой файлов опасного типа и позволяют осуществлять обход абсолютного пути (absolute path traversal) в модулях Flow Editor и establish-connection-no-undo соответственно. Ещё две - CVE-2025-52450 и CVE-2025-52451 (оценка CVSS 8,5) - касаются функции create-data-source-from-file-upload в API tabdoc и также допускают обход пути из-за неправильного ограничения имён pathname и недостаточной проверки вводимых данных.
Под угрозой оказываются Tableau Server версий ранее 2025.1.4, 2024.2.13 и 2023.3.20. Уязвимость типа CVE-2025-26496 также затрагивает соответствующие версии Tableau Desktop. Все перечисленные продукты работают на платформах Windows и Linux, а уязвимости сконцентрированы в модулях, ответственных за обработку файлов и создание источников данных.
Сочетание неограниченной загрузки файлов с возможностью обхода путей создаёт несколько векторов атаки. Злоумышленники могут записывать файлы в произвольные места файловой системы сервера. Критическая уязвимость типа confusion усугубляет угрозу, потенциально позволяя выполнить код и превращая возможность загрузки файла в полноценный компрометацию системы.
Поскольку затронутые модули отвечают за ключевую функциональность Tableau - создание источников данных, редактирование потоков и установление соединений - эти уязвимости представляют особую опасность для организаций, использующих Tableau в бизнес-аналитике и системах принятия решений.
Salesforce настоятельно рекомендует всем клиентам, использующим Tableau Server, немедленно обновиться до последней поддерживаемой версии. Исправления уже включены в обслуживающие выпуски, опубликованные 22 июля 2025 года, что предоставило месячный запас времени между выходом патчей и публичным раскрытием информации.
Особое внимание на обновление следует обратить организациям, чьи системы доступны для недоверенных пользователей или сетей. Учитывая характер уязвимостей, связанных с загрузкой файлов, администраторам также рекомендуется пересмотреть политики контроля доступа к функционалу создания источников данных и загрузки файлов в процессе планирования графика обновлений.
Ссылки
- https://help.salesforce.com/s/articleView?id=005132575&type=1
- https://www.cve.org/CVERecord?id=CVE-2025-26496
- https://www.cve.org/CVERecord?id=CVE-2025-26497
- https://www.cve.org/CVERecord?id=CVE-2025-26498
- https://www.cve.org/CVERecord?id=CVE-2025-52450
- https://www.cve.org/CVERecord?id=CVE-2025-52451
