Salesforce发布了一项安全公告，解决了影响多个版本Tableau Server（广泛使用的数据可视化和商业智能平台）的8个严重漏洞。这些漏洞已在2025年6月26日的维护版本中披露并修复，涉及的漏洞包括可能导致远程代码执行（RCE）、生产数据库暴露和服务器端请求伪造（SSRF）等问题。

CVE-2025-52446、CVE-2025-52447、CVE-2025-52448 – 通过任意SQL访问未经授权的数据库

这三项漏洞源于Tableau的tab-doc API、set-initial-sql和validate-initial-sql功能中的不当授权控制。攻击者利用这些漏洞可以操控会话级别的设置，向生产数据库集群发送任意SQL语句。这意味着攻击者可能获得更高权限，进而窃取或修改关键数据。这些漏洞特别危险，因为它们绕过了用户与生产基础设施之间预定的隔离边界。

CVE-2025-52449 – 通过恶意文件上传执行远程代码

Salesforce报告指出，在Tableau的可扩展协议服务（Extensible Protocol Service）中发现了一项严重漏洞，允许不受限制的文件上传。攻击者可以通过伪装可执行文件的文件名上传恶意负载并在服务器上触发执行。系统未能验证上传文件的完整性或意图，使其容易受到远程代码执行（RCE）的攻击。

CVE-2025-52452 – 绝对路径遍历导致敏感文件暴露

另一个关键漏洞影响了tabdoc API中的duplicate-data-source模块。该绝对路径遍历漏洞允许攻击者构造请求绕过目录限制，从主机系统中读取任意文件。此类访问可能暴露敏感的配置文件、存储凭据或内部日志，供后续攻击使用。

CVE-2025-52453、CVE-2025-52454、CVE-2025-52455 – 多个组件中的服务器端请求伪造（SSRF）

这三个相关的SSRF漏洞分别出现在Flow数据源、Amazon S3连接器和EPS服务器模块中。攻击者可以构造请求，迫使Tableau Server启动未经授权的网络连接，访问内部或外部系统。通过SSRF，攻击者可以针对云元数据服务、内部管理端点或受限数据库，绕过防火墙规则，并可能进一步深入组织的基础设施。

这些漏洞影响的Tableau Server版本包括：

• 2025.1.3之前

• 2024.2.12之前

• 2023.3.19之前

根据安全公告，攻击者可以利用这些漏洞，未经授权访问生产数据库、上传并执行恶意文件、通过SSRF伪造资源位置。

Salesforce敦促所有管理员更新到最新的受支持版本，以避免潜在的利用风险。