Open Redirect in Tableau Server (SYSS-2020-032/CVE-2021-1629)

Tableau Server ist eine Plattform für Online-Datenmanagement, Analyse und Visualisierung. Laut Beschreibung des Herstellers erlaubt "Tableau Server jedem in einer Organisation, Daten zu sehen und zu verstehen" und hat "für jeden Benutzertyp etwas anzubieten".

Die SySS GmbH entdeckte, dass es für angemeldete Nutzer möglich ist, die internen Links, die in E-Mails vom Server an andere Benutzer gesendet werden, durch beliebige externe URLs zu ersetzen. So könnte beispielsweise ein Angreifer mit Zugang zu einem niedrig privilegierten Benutzerkonto Phishing-Mails an andere Benutzer schicken. Solche E-Mails würden wegen des authentischen Absenders (der Tableau Server), des vertrauten Formats und des scheinbar internen Links besonders vertrauenswürdig aussehen. Ein Phishing-Opfer könnte leicht seine Zugangsdaten in einem gefälschten Loginformular eingeben (und somit an einen externen, vom Angreifer kontrollierten Server schicken), weil beim entsprechenden echten Vorgang tatsächlich eine Anmeldung verlangt wird, um auf interne Ressourcen zuzugreifen.

Detaillierte Informationen zu der gefundenen Schwachstelle finden Sie in unserem Security Advisory / You will find detailed information about these security issues in our Security Advisory:

• SYSS-2020-032

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.