Loading

ADV-2023-001: Tableau Server에 대한 TabPy 인증되지 않은 액세스

게시 일자: Nov 8, 2023
상세 설명

TabPy(Tableau Python Server) 설치는 인증 없이 임의의 파이썬 코드를 실행하도록 구성할 수 있습니다. TabPy를 설치한 관리자는 이러한 구성을 즉각 알아차리지 못할 수 있습니다.

인증되지 않은 공격자는 인증을 활성화하지 않은 TabPy 인스턴스에서 원격 코드 실행을 수행할 수 있습니다. TabPy는 인증을 사용하든 사용하지 않든 실행할 수 있도록 설계되습니다. 하지만 미인증 모드에서 TabPy를 실행하는 사용자는 잠재적만 위험을 인식하지 못할 수 있으며 https://github.com/tableau/TabPy의 문서를 자세히 검토해야 합니다.

참고: 이는 Tableau에서는 취약점이 아닙니다. 이는 잠재적인 위험에 취약하기 때문에 권장되지 않는 TabPy 구성입니다.



 
솔루션
이제 TabPy 2.9.0에서는 인증 없이 TabPy를 계속 실행하려면 경고 메시지를 확인해야 합니다. 이 경고 메시지에는 인증을 하지 않고 TabPy를 실행하는 것은 안전하지 않은 구성이므로 권장하지 않는다는 문구가 포함되어 있습니다.
추가 자원

심각도: 중요

CVSS3 Score: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A: 10.0H

    Knowledge 기사 번호

    001475337

     
    로드 중
    Salesforce Help | Article