Loading

ADV-2023-001: acceso no autenticado de TabPy a Tableau Server

Fecha de publicación: Nov 8, 2023
Descripción

Las instalaciones de TabPy (el servidor Python de Tableau) pueden estar configuradas para ejecutar código Python arbitrario sin autenticación. Esta configuración puede no ser evidente de inmediato para los administradores con TabPy instalado.

Un atacante no autenticado podría realizar una ejecución de código remoto en instancias de TabPy que no tengan la autenticación habilitada. TabPy está diseñado para funcionar con y sin autenticación, pero aquellos que ejecutan TabPy en el modo no autenticado pueden no ser conscientes del riesgo potencial y deben revisar minuciosamente la documentación en https://github.com/tableau/TabPy.

NOTA: Esto no es una vulnerabilidad en Tableau. Es una implementación no recomendada de TabPy que implica riesgo potencial.



 
Solución
TabPy 2.9.0 ahora requiere la aceptación de un mensaje de advertencia para seguir ejecutando TabPy sin autenticación. Este mensaje de advertencia incluye una declaración que indica que ejecutar TabPy sin autenticación es una configuración no segura y no recomendada.
Recursos adicionales

Gravedad: crítica

CVSS3 Score: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A: 10.0H

    Número del artículo de conocimiento

    001475337

     
    Cargando
    Salesforce Help | Article