Tableau Server ist eine Plattform für Online-Datenmanagement, Analyse und Visualisierung. Laut Beschreibung des Herstellers erlaubt "Tableau Server jedem in einer Organisation, Daten zu sehen und zu verstehen" und hat "für jeden Benutzertyp etwas anzubieten".
Die SySS GmbH entdeckte, dass es für angemeldete Nutzer möglich ist, die internen Links, die in E-Mails vom Server an andere Benutzer gesendet werden, durch beliebige externe URLs zu ersetzen. So könnte beispielsweise ein Angreifer mit Zugang zu einem niedrig privilegierten Benutzerkonto Phishing-Mails an andere Benutzer schicken. Solche E-Mails würden wegen des authentischen Absenders (der Tableau Server), des vertrauten Formats und des scheinbar internen Links besonders vertrauenswürdig aussehen. Ein Phishing-Opfer könnte leicht seine Zugangsdaten in einem gefälschten Loginformular eingeben (und somit an einen externen, vom Angreifer kontrollierten Server schicken), weil beim entsprechenden echten Vorgang tatsächlich eine Anmeldung verlangt wird, um auf interne Ressourcen zuzugreifen.
Detaillierte Informationen zu der gefundenen Schwachstelle finden Sie in unserem Security Advisory / You will find detailed information about these security issues in our Security Advisory:
27.01.2025
- 28.01.2025
Hack4: Angriffe gegen VoIP-Infrastrukturen
03.02.2025
Secu5: Planung und Durchführung von Penetrationstests
04.02.2025
- 05.02.2025
Hack7: Sicherheit und Einfallstore bei Webapplikationen
05.02.2025
Secu6: Krisenkommunikation bei IT-Sicherheitsvorfällen
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Direkter Kontakt
+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN
+49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer