Een kritieke kwetsbaarheid is ontdekt in Tableau Server, specifiek binnen de Flow Editor modules op Windows en Linux. Deze CVE-2025-26497 laat onbeperkt bestanden van gevaarlijke typen uploaden toe, wat Absolute Path Traversal mogelijk maakt.
Aanvallers kunnen zonder uw kennis toegang krijgen tot belangrijke gedeeltes van het systeem, waardoor gevoelige informatie in gevaar komt. Dit probleem treft versies van Tableau Server vóór 2025.1.3, 2024.2.12 en 2023.3.19.
Overzicht
De kwetsbaarheid betreft de mogelijkheid om gevaarlijke bestandstypen zonder restricties te uploaden, wat misbruik mogelijk maakt, zoals Absolute Path Traversal. Dit kan leiden tot ongeoorloofde toegang tot gevoelige bestandslocaties op de server.
Aanbevelingen
- Update Tableau Server naar ten minste versie 2025.1.3, 2024.2.12 of 2023.3.19 om deze kwetsbaarheid te verhelpen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-26497?
Dit is een beveiligingslek in Tableau Server dat het mogelijk maakt om gevaarlijke bestanden zonder beperking te uploaden binnen bepaalde moduleversies.
Bestaat er al een patch of beveiligingsupdate?
Ja, patches zijn beschikbaar in de versies 2025.1.3, 2024.2.12 en 2023.3.19 van Tableau Server.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan Absolute Path Traversal uitvoeren om toegang te krijgen tot gevoelig systeemmateriaal en gegevens zonder toestemming.
