2025年7月25日、セールスフォースはデータ可視化基盤「Tableau Server」に影響を及ぼす深刻なセキュリティ脆弱性8件に関するアドバイザリを公開しました。
これらの脆弱性は、リモートコード実行(RCE)やサーバーサイドリクエストフォージェリ(SSRF)、任意のファイル読み取り、
さらには本番データベースへの不正アクセスといったリスクを含んでおり、速やかなアップデートが強く推奨されています。
目次
脆弱性の内容と影響範囲
これらの脆弱性は、2025年6月26日公開のメンテナンスリリースで修正されており、影響を受けるのは以下のバージョンのTableau Server です
-
2025.1.3 未満
-
2024.2.12 未満
-
2023.3.19 未満
本番データベースへの不正アクセス
-
CVE-2025-52446
-
CVE-2025-52447
-
CVE-2025-52448
これらは、ユーザー制御のキーを介した認可バイパスの脆弱性であり、tab-doc API モジュール、set-initial-sql コマンド、validate-initial-sql API で発生します。攻撃者は、任意の SQL クエリを実行することで、本番データベースへ直接アクセスすることが可能です。
CVSSスコアがいずれも8.0(重要)となります。
リモートコード実行(RCE)
-
CVE-2025-52449
Extensible Protocol Service モジュールにおいて、ファイル検証が不十分なため、悪意あるファイルがアップロードされると、そのまま実行されてしまう可能性があります。
この問題は、攻撃者が意図的に偽装したファイル名を用いることで、任意コードをサーバー上で実行できるというものです。
この脆弱性はCVSSスコア:8.5(非常に重要)となります。
パストラバーサルによるファイルアクセス
-
CVE-2025-52452
duplicate-data-source モジュール(tabdoc API)にて、ディレクトリの制限を回避し、任意のパスへのアクセスを許す脆弱性です。
攻撃者はサーバー上の設定ファイル、認証情報、ログファイルなどの機密情報を読み取れる可能性があります。この脆弱性はCVSSスコア:8.5(非常に重要)となります。
サーバーサイドリクエストフォージェリ(SSRF)
-
CVE-2025-52453(Flow Data Source モジュール)
-
CVE-2025-52454(Amazon S3 Connector モジュール)
-
CVE-2025-52455(EPS Server モジュール)
これらの脆弱性では、攻撃者が Tableau Server を踏み台にして、組織内部のネットワークや外部サービスへのリクエストを強制的に送信することが可能になります。
クラウドのメタデータサービスや内部管理APIへのアクセスを通じて、より高度な攻撃に繋がる恐れがあります。
この脆弱性はCVSSスコア:8.1~8.2(重要)となりまs。
セールスフォースの推奨対応
-
最新の メンテナンスリリースへのアップグレード
-
Trino(旧Presto)ドライバ利用者は、最新バージョンへの更新
-
サポート外バージョンの Tableau Server を利用中の企業は、サポート対象バージョンへアップグレード
詳細な手順やパッチ情報は、Tableau Server の公式メンテナンスリリースページに掲載されています。







