WID-SEC-W-2024-1501
Vulnerability from csaf_certbund - Published: 2024-07-01 22:00 - Updated: 2024-07-01 22:00Summary
Spotfire Analytics: Mehrere Schwachstellen
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
Spotfire Analytics ist eine kommerzielle Software-Plattform für Business-Intelligence-Lösungen zur systematischen Analyse von unternehmenseigenen und -fremden Daten.
Der Spotfire Server ist die zentrale Komponente einer Spotfire Umgebung, mit der sich alle Spotfire Clients verbinden.
Spotfire Statistics Services ist ein "light-weight" Server, der eine Kommunikationsschicht und eine Serviceschicht, sowie einen S-PLUS oder R "engine pool" und andere Features bietet.
Angriff
Ein entfernter, authentifizierter Angreifer kann mehrere Schwachstellen in Spotfire Analytics, Spotfire Server und Spotfire Statistics Services ausnutzen, um beliebigen Code auszuführen oder vertrauliche Informationen offenzulegen.
Betroffene Betriebssysteme
- Sonstiges
- Windows
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "Spotfire Analytics ist eine kommerzielle Software-Plattform f\u00fcr Business-Intelligence-L\u00f6sungen zur systematischen Analyse von unternehmenseigenen und -fremden Daten.\r\nDer Spotfire Server ist die zentrale Komponente einer Spotfire Umgebung, mit der sich alle Spotfire Clients verbinden. \r\nSpotfire Statistics Services ist ein \"light-weight\" Server, der eine Kommunikationsschicht und eine Serviceschicht, sowie einen S-PLUS oder R \"engine pool\" und andere Features bietet.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, authentifizierter Angreifer kann mehrere Schwachstellen in Spotfire Analytics, Spotfire Server und Spotfire Statistics Services ausnutzen, um beliebigen Code auszuf\u00fchren oder vertrauliche Informationen offenzulegen.",
"title": "Angriff"
},
{
"category": "general",
"text": "- Sonstiges\n- Windows",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2024-1501 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-1501.json"
},
{
"category": "self",
"summary": "WID-SEC-2024-1501 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-1501"
},
{
"category": "external",
"summary": "Spotfire Security Advisory vom 2024-07-01",
"url": "https://community.spotfire.com/articles/spotfire/spotfire-security-advisory-june-262024-spotfire-cve-2024-3330-r3435/"
},
{
"category": "external",
"summary": "Spotfire Security Advisory vom 2024-07-01",
"url": "https://community.spotfire.com/articles/spotfire/spotfire-security-advisory-june-262024-spotfire-cve-2024-3331-r3436/"
}
],
"source_lang": "en-US",
"title": "Spotfire Analytics: Mehrere Schwachstellen",
"tracking": {
"current_release_date": "2024-07-01T22:00:00.000+00:00",
"generator": {
"date": "2024-08-15T18:10:48.537+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.5"
}
},
"id": "WID-SEC-W-2024-1501",
"initial_release_date": "2024-07-01T22:00:00.000+00:00",
"revision_history": [
{
"date": "2024-07-01T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"branches": [
{
"category": "product_version_range",
"name": "\u003c12.0.10",
"product": {
"name": "Spotfire Analytics \u003c12.0.10",
"product_id": "T035764"
}
},
{
"category": "product_version_range",
"name": "\u003c14.0.3",
"product": {
"name": "Spotfire Analytics \u003c14.0.3",
"product_id": "T035765"
}
},
{
"category": "product_version_range",
"name": "\u003c14.4.0",
"product": {
"name": "Spotfire Analytics \u003c14.4.0",
"product_id": "T035766"
}
}
],
"category": "product_name",
"name": "Analytics"
},
{
"branches": [
{
"category": "product_version_range",
"name": "\u003c12.0.11",
"product": {
"name": "Spotfire Server \u003c12.0.11",
"product_id": "T035767"
}
},
{
"category": "product_version_range",
"name": "\u003c14.0.4",
"product": {
"name": "Spotfire Server \u003c14.0.4",
"product_id": "T035768"
}
},
{
"category": "product_version_range",
"name": "\u003c14.4.0",
"product": {
"name": "Spotfire Server \u003c14.4.0",
"product_id": "T035769"
}
}
],
"category": "product_name",
"name": "Server"
},
{
"branches": [
{
"category": "product_version_range",
"name": "\u003c12.0.8",
"product": {
"name": "Spotfire Statistics Services \u003c12.0.8",
"product_id": "T035770"
}
},
{
"category": "product_version_range",
"name": "\u003c14.0.4",
"product": {
"name": "Spotfire Statistics Services \u003c14.0.4",
"product_id": "T035771"
}
},
{
"category": "product_version_range",
"name": "\u003c14.4.0",
"product": {
"name": "Spotfire Statistics Services \u003c14.4.0",
"product_id": "T035772"
}
}
],
"category": "product_name",
"name": "Statistics Services"
}
],
"category": "vendor",
"name": "Spotfire"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2024-3330",
"notes": [
{
"category": "description",
"text": "Es besteht eine Schwachstelle in Spotfire Analytics und Spotfire Server. Dieser Fehler besteht aufgrund einer unsachgem\u00e4\u00dfen Eingabeneutralisierung. Durch das Hochladen einer manipulierten Analyst-Datei kann ein entfernter, authentifizierter Angreifer diese Schwachstelle zur Ausf\u00fchrung von beliebigem Code ausnutzen."
}
],
"release_date": "2024-07-01T22:00:00.000+00:00",
"title": "CVE-2024-3330"
},
{
"cve": "CVE-2024-3331",
"notes": [
{
"category": "description",
"text": "Es besteht eine Schwachstelle in Spotfire Analytics, Spotfire Server und Spotfire Statistics Services. Dieser Fehler in der evalREX-Funktion der TERR-Skriptumgebung f\u00fchrt zur Offenlegung von NTLM-Tokens. Ein entfernter authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche Informationen offenzulegen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"release_date": "2024-07-01T22:00:00.000+00:00",
"title": "CVE-2024-3331"
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…