关键信息总结 漏洞概述 漏洞名称: Spotfire Code Execution Vulnerability CVE编号: CVE-2025-3114 发布日期: 2025年4月8日 CVSS v4.0 基本评分: 9.4 (严重) 影响的产品版本 Spotfire Enterprise Runtime for R: 6.1.4及更早版本 Spotfire Statistics Services: 14.0.6及更早版本 Spotfire Statistics Services: 14.1.0, 14.2.0, 14.3.0, 14.4.0, 14.4.1 Spotfire Enterprise Runtime for R - Server Edition: 117.6及更早版本 Spotfire Enterprise Runtime for R - Server Edition: 118.0, 119.0, 120.0, 121.0, 121.1 Spotfire Analyst: 14.0.5及更早版本 Spotfire Analyst: 14.1.0, 14.2.0, 14.3.0, 14.4.0, 14.4.1 Deployment Kit: 用于Spotfire Server 14.0.6及更早版本 Deployment Kit: 用于Spotfire Server 14.1.0, 14.2.0, 14.3.0, 14.4.0, 14.4.1 Spotfire Desktop: 14.4.1及更早版本 Spotfire for AWS Marketplace: 14.4.1及更早版本 漏洞描述 恶意文件执行代码: 攻击者可以创建带有嵌入代码的特殊文件,这些文件可能在没有适当安全验证的情况下执行,导致系统被攻破。 沙箱绕过漏洞: TERR安全机制中的一个缺陷允许攻击者绕过沙箱限制,执行不受信任的代码而无需适当的控制。 解决方案 升级到以下版本以解决此问题: - Spotfire Enterprise Runtime for R: 6.1.5或更高版本 - Spotfire Statistics Services: 14.0.7或更高版本 - Spotfire Statistics Services: 14.4.2或更高版本 - Spotfire Enterprise Runtime for R - Server Edition: 117.7或更高版本 - Spotfire Enterprise Runtime for R - Server Edition: 122.2或更高版本 - Spotfire Analyst: 14.0.6或更高版本 - Spotfire Analyst: 14.4.2或更高版本 - Deployment Kit: 应用Spotfire Server 14.0.7或更高版本的Deployment Kit - Deployment Kit: 应用Spotfire Server 14.4.2或更高版本的Deployment Kit - Spotfire Desktop: 14.4.2或更高版本 - Spotfire for AWS Marketplace: 14.4.2或更高版本