Divulgación de información de usuario en JasperReports Server de TIBCO
Fecha de publicación 07/03/2019
Importancia
5 - Crítica
Recursos Afectados
- TIBCO JasperReports Server, versiones 6.4.0, 6.4.1, 6.4.2, y 6.4.3
- TIBCO JasperReports Server, versión 7.1.0
- TIBCO JasperReports Server Community Edition, versiones 7.1.0 y anteriores
- TIBCO JasperReports Server para ActiveMatrix BPM, versiones 6.4.3 y anteriores
- TIBCO Jaspersoft para AWS with Multi-Tenancy, versiones 7.1.0 y anteriores
- TIBCO Jaspersoft Reporting y Analytics para AWS, versiones 7.1.0 y anteriores
Descripción
TIBCO ha publicado una vulnerabilidad descubierta por Steven Seeley (mr_me), de Source Incite trabajando con Trend Micro Zero Day Initiative, que podría permitir a un atacante no autenticado eludir las verificaciones de autorización de partes de la interfaz HTTP de JasperReports Server.
Solución
- Para TIBCO JasperReports Server, versiones 6.4.0, 6.4.1, 6.4.2, y 6.4.3: actualizar a la versión 6.4.4 o superior.
- Para TIBCO JasperReports Server, versión 7.1.0: actualizar a la versión 7.1.1 o superior.
- Para TIBCO JasperReports Server Community Edition, versiones 7.1.0 y anteriores: actualizar a la versión 7.1.1 o superior.
- Para TIBCO JasperReports Server para ActiveMatrix BPM, versiones 6.4.3 y anteriores: actualizar a la versión 6.4.4 o superior.
- Para TIBCO Jaspersoft para AWS with Multi-Tenancy, versiones 7.1.0 y anteriores: actualizar a la versión 7.1.1 o superior.
- Para TIBCO Jaspersoft Reporting y Analytics para AWS, versiones 7.1.0 y anteriores: actualizar a la versión 7.1.1 o superior.
Detalle
- Esta vulnerabilidad, para la que se ha reservado el identificador CVE-2018-18815, podría permitir a un atacante el acceso de lectura no autenticado a los contenidos del sistema host, cuando se combina con la vulnerabilidad identificada por el CVE-2018-18809.
Listado de referencias