Unternehmen, die die KI-Analyseplattform Spotfire nutzen, sollten die Software aus Sicherheitsgründen auf den aktuellen Stand bringen. Angreifer können an zwei Schwachstellen in verschiedenen Produkten ansetzen, um Systeme mit Schadcode zu kompromittieren.
Wie aus zwei Warnmeldungen zu den Sicherheitslücken (CVE-2025-3114 "kritisch", CVE-2025-3115 "kritisch") hervorgeht, sind konkret Spotfire Analyst, AWS Marketplace, Deployment Kit Spotfire Server, Desktop, Enterprise Runtime, Service for Python, Service for R und Statistics Services bedroht.
In beiden Fällen können Angreifer eigenen Code ausführen. Aufgrund der kritischen Einstufung ist davon auszugehen, dass das aus der Ferne und ohne Authentifizierung klappt. Um eine Attacke einzuleiten, müssen Angreifer eine Datei mit Schadcode versehen. Diese wird dann aufgrund von unzureichenden Überprüfungen ausgeführt. Außerdem können Angreifer aus der Sandbox ausbrechen und nicht vertrauenswürdigen Code ausführen.
Weil die Uploadfunktion im Kontext der zweiten Lücke Dateinamen nicht ausreichend prüft, können Angreifer Schadcode hochladen. Derzeit gibt es noch keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Das kann sich aber schnell ändern und Admins sollten zeitnah handeln.
Die Entwickler erläutern, dass sie die Lücken in den folgenden Versionen geschlossen haben. Alle vorigen Ausgaben sind verwundbar.
Analyst 14.0.6, 14.4.2AWS Marketplace 14.4.2Deployment Kit Spotfire Server 14.0.7, 14.4.2Desktop 14.4.2Enterprise Runtime 1.17.7, 1.22.2Service for Python 1.17.7, 1.22.2Service for R 1.17.7, 1.22.2Statistics Services 14.0.7, 14.4.2
(
Kommentare