КиберосноваSGRC
BDU:2025-09769
Средний

BDU:2025-09769: Уязвимость модуля Flow Data Source аналитической платформы Tableau Server, позволяющая нарушителю осуществить SSRF-атаку

CVSS v38.2
CVSS v26.6
Пересчитать в калькулятореОткрыть на bdu.fstec.ruК реестру

Детали уязвимости BDU:2025-09769

Описание

Уязвимость модуля Flow Data Source аналитической платформы Tableau Server связана с недостаточной проверкой запросов на стороне сервера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить SSRF-атаку

Что делать с BDU:2025-09769

Уязвимость среднего уровня (CVSS 8.2) — устраните в рамках планового цикла обновлений. Рекомендуемый срок — 30 дней. Оцените применимость к вашей инфраструктуре через список затронутого ПО.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
8.2Высокий
Пересчитать →
v2
6.6
Только просмотр
AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:NAV:N/AC:H/Au:S/C:C/I:C/A:N

CWE — тип уязвимости

CWE-918

CVE — международный идентификатор

CVE-2025-52453
CWE-918
Подделка серверных запросов

Позволяет заставить сервер отправлять запросы к внутренним ресурсам. Приводит к доступу к внутренней сети.

Как атакуют и что делать ▾

Сценарий атаки

Сервер принимает URL от пользователя и делает HTTP-запрос. Атакующий указывает http://169.254.169.254/ — получает метаданные облака.

Последствия

Доступ к внутренней сети, метаданным облака (AWS/GCP credentials), сканирование портов.

Рекомендации

Валидируйте URL по white-list, блокируйте приватные IP-диапазоны, используйте egress firewall.

Тактики и техники

Подмена при взаимодействии

Уязвимое ПО (3)

ВендорНазваниеВерсияПлатформа
Salesforce, Inc.Tableau Serverдо 2025.1.3Не указана
Salesforce, Inc.Tableau Serverдо 2024.2.12Не указана
Salesforce, Inc.Tableau Serverдо 2023.3.19Не указана

Среды функционирования (2)

ВендорНазваниеВерсияПлатформа
Сообщество свободного программного обеспеченияLinux.Не указана
Microsoft CorpWindows-Не указана

Рекомендации по устранению

Использование рекомендаций: https://help.salesforce.com/s/articleView?id=005105043&type=4

Источники (1)

SLA ФСТЭК №117

7 дней

по базовой оценке CVSS 8.2

Уточните SLA под вашу среду

Базовый балл 8.2 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Отслеживать (повышенный)

Умеренный риск. Включите в плановый цикл обновлений, следите за изменением EPSS.

EPSS — вероятность эксплуатации0.0%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2025-06-26

Опубликована

2025-08-14

Обновлена

2025-08-14

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Внешние ресурсы

БДУ ФСТЭК NVD: CVE-2025-52453 MITRE: CWE-918 Каталог CPE (ФСТЭК)

Связанные уязвимости

BDU:2025-13945
Средний
5.3

Уязвимость аналитической платформы Tableau Server, связанная с недостаточной проверкой запросов на стороне сервера, позв

BDU:2025-13944
Высокий
8.5

Уязвимость аналитической платформы Tableau Server, связанная с неограниченной загрузкой файлов опасного типа, позволяюща

BDU:2025-09771
Высокий
8.1

Уязвимость команды set-initial-sql аналитической платформы Tableau Server, позволяющая нарушителю получить несанкциониро

BDU:2025-09786
Высокий
8.5

Уязвимость команды duplicate-data-source аналитической платформы Tableau Server, позволяющая нарушителю получить несанкц

BDU:2025-09794
Высокий
8.0

Уязвимость интерфейса Tab-Doc API аналитической платформы Tableau Server, позволяющая нарушителю получить несанкциониров

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Поиск по 85 000+ уязвимостямМодуль БДУ ФСТЭК

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0