Limitación incorrecta de la ruta a un directorio restringido en TIBCO JasperReports Library

Fecha de publicación 16/03/2022
Importancia
5 - Crítica
Recursos Afectados
  • TIBCO JasperReports Library:
    • versión 7.9.0;
    • para ActiveMatrix BPM, versión 7.9.0.
  • TIBCO JasperReports Server:
    • versiones 7.9.0 and 7.9.1;
    • para AWS Marketplace, versiones 7.9.0 y 7.9.1;
    • para ActiveMatrix BPM, versiones 7.9.0 y 7.9.1;
    • para Microsoft Azure, versión 7.9.1.
  • Componente Server.
Descripción

Se ha identificado una vulnerabilidad crítica de limitación incorrecta de la ruta a un directorio restringido (directory traversal) que podría permitir a los usuarios del servidor web acceder al contenido del sistema host.

Solución

Actualizar a:

  • TIBCO JasperReports Library:
    • versión 7.9.2 o posteriores;
    • para ActiveMatrix BPM, versión 7.9.2 o posteriores.
  • TIBCO JasperReports Server:
    • versión 7.9.2 o posteriores;
    • para AWS Marketplace, versiones 7.9.2 o posteriores;
    • para ActiveMatrix BPM, versiones 7.9.2 o posteriores;
    • para Microsoft Azure, versión 7.9.2 o posteriores.
Detalle

Esta vulnerabilidad podría permitir que un servidor web que utilice el DefaultWebResourceHandler pudiese exponer detalles del sistema host. Los datos revelados podrían incluir credenciales para acceder a otros sistemas. Se ha asignado el identificador CVE-2022-22771 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
TIBCO Security Advisory: March 15, 2022 - TIBCO JasperReports Library - 2022-22771
Etiquetas