1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. Tableau Server/Desktopに複数の深刻な脆弱性-CVE-2025-26496など修正済み

Tableau Server/Desktopに複数の深刻な脆弱性-CVE-2025-26496など修正済み

セキュリティニュース

投稿日時: 更新日時:

Tableau ServerDesktopに複数の深刻な脆弱性-CVE-2025-26496など修正済み

2025年8月22日、Salesforce Securityは、Tableau Server(および一部はTableau Desktop)で確認された複数の脆弱性を修正したと発表しました。

修正は2025年7月22日公開のメンテナンスリリースに含まれており、未適用の環境は直ちにアップデートすることが推奨されています。

影響を受けるのは2025.1.3/2024.2.12/2023.3.19より前のTableau Serverですが、個々のCVEの修正境界は後述のとおりで、実際の安全バージョンは 2025.1.4/2024.2.13/2023.3.20 以降です。

影響範囲(製品・バージョン)

  • Tableau Server(Windows/Linux)

    • 公表上の影響範囲:2025.1.3/2024.2.12/2023.3.19 より前

    • 個別CVEでの修正境界:2025.1.4/2024.2.13/2023.3.20 以降

  • Tableau Desktop(Windows/Linux)

    • CVE-2025-26496(File Uploadモジュール)に該当

※実運用では2025.1.4/2024.2.13/2023.3.20 以降への更新を基準にしてください。

修正された主な脆弱性

  • CVE-2025-26496(CVSS 9.6/クリティカル)

    • 種別:Access of Resource Using Incompatible Type(タイプ混同)

    • 影響:File Uploadモジュールの欠陥によりローカルコードインクルージョンを許す可能性。

    • 対象Tableau Server/Tableau Desktop

    • 修正済みバージョン2025.1.4/2024.2.13/2023.3.20 以降

  • CVE-2025-26497(CVSS 7.7/高)

    • 種別:Unrestricted Upload of File with Dangerous Type(危険なタイプのファイルの無制限アップロード)

    • 影響絶対パストラバーサル(Flow Editorモジュール)

    • 修正済みバージョン2025.1.4/2024.2.13/2023.3.20 以降

  • CVE-2025-26498(CVSS 7.7/高)

    • 種別:同上

    • 影響絶対パストラバーサル(establish-connection-no-undoモジュール)

    • 修正済みバージョン2025.1.4/2024.2.13/2023.3.20 以降

  • CVE-2025-52450(CVSS 8.5/高)

    • 種別:Improper Limitation of a Pathname to a Restricted Directory(ディレクトリ制限の不備)

    • 影響絶対パストラバーサル(tabdoc API / create-data-source-from-file-upload)

    • 修正済みバージョン2025.1.4/2024.2.13/2023.3.20 以降

  • CVE-2025-52451(CVSS 8.5/高)

    • 種別:Improper Input Validation(入力検証不備)

    • 影響絶対パストラバーサル(tabdoc API / create-data-source-from-file-upload)

    • 修正済みバージョン2025.1.4/2024.2.13/2023.3.20 以降

想定されるリスク

今回の欠陥は、危険ファイルのアップロードやパストラバーサル、タイプ混同を起点としたコード取り込みに直結します。分析・可視化基盤として他システムと広く連携するTableau Serverでは、

  • 任意コード実行権限逸脱

  • 機密ファイルへの不正アクセス

  • 不正なワークフロー改変やデータ改ざん
    といった被害が連鎖しやすく、エンタープライズ環境では影響が広範になり得ます。

関連記事

Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見 保険見直し本舗 グループ、ランサムウェアによるサイバー攻撃で510万件の個人情報漏洩の可能性保険見直し本舗、ランサムウェアによるサイバー攻撃で約510万件の個人情報漏洩の恐れ TikTokがマルウェアの温床に?AI生成動画でインフォスティーラー拡散させるサイバー攻撃の手口TikTokがマルウェアの温床に?AI生成動画でインフォスティーラーを拡散させるサイバー攻撃の手口 100万超ダウンロードされている、React AriaのNPMパッケージにマルウェアが組み込まれている100万超ダウンロードされている、React Ariaのnpmにマルウェアが組み込まれている-サプライチェーン攻撃か 北朝鮮がサイバー攻撃や仮想通貨、偽装IT労働者活動支援の為にAIを悪用北朝鮮がサイバー攻撃や仮想通貨、偽装IT労働者活動支援の為にAIを悪用 サイバー犯罪の事例-個人から法人までサイバー犯罪の事例-個人から法人まで Fortinet、FortiVoiceのゼロデイ攻撃に悪用された脆弱性を修正(CVE-2025-32756)Fortinet、FortiVoiceのゼロデイ攻撃に悪用された脆弱性を修正(CVE-2025-32756) セールスフォース、Tableau Serverの深刻な脆弱性 8件を修正セールスフォース、Tableau Serverの深刻な脆弱性 8件を修正 すかいらーくグループのテイクアウトサイトに不正アクセス-個人情報漏洩の可能性すかいらーくグループのテイクアウトサイトに不正アクセス-個人情報漏洩の可能性