Tableau Server ist eine Plattform für Online-Datenmanagement, Analyse und Visualisierung. Laut Beschreibung des Herstellers erlaubt "Tableau Server jedem in einer Organisation, Daten zu sehen und zu verstehen" und hat "für jeden Benutzertyp etwas anzubieten".
Die SySS GmbH entdeckte, dass es für angemeldete Nutzer möglich ist, die internen Links, die in E-Mails vom Server an andere Benutzer gesendet werden, durch beliebige externe URLs zu ersetzen. So könnte beispielsweise ein Angreifer mit Zugang zu einem niedrig privilegierten Benutzerkonto Phishing-Mails an andere Benutzer schicken. Solche E-Mails würden wegen des authentischen Absenders (der Tableau Server), des vertrauten Formats und des scheinbar internen Links besonders vertrauenswürdig aussehen. Ein Phishing-Opfer könnte leicht seine Zugangsdaten in einem gefälschten Loginformular eingeben (und somit an einen externen, vom Angreifer kontrollierten Server schicken), weil beim entsprechenden echten Vorgang tatsächlich eine Anmeldung verlangt wird, um auf interne Ressourcen zuzugreifen.
Detaillierte Informationen zu der gefundenen Schwachstelle finden Sie in unserem Security Advisory / You will find detailed information about these security issues in our Security Advisory:
06.05.2024
- 07.05.2024
Hack7: Sicherheit und Einfallstore bei Webapplikationen
13.05.2024
SySS bei der Kreissparkasse Heilbronn in Lauffen am Neckar
13.05.2024
Secu5: Planung und Durchführung von Penetrationstests
14.05.2024
SySS bei der Kreissparkasse Heilbronn in Weinsberg
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Direkter Kontakt
+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN
+49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer