Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades que afectan a productos de TIBCO

Fecha de publicación 14/12/2022
Identificador

INCIBE-2022-1054

Importancia
5 - Crítica
Recursos Afectados
  • TIBCO JasperReports Server, versiones 8.0.2 y anteriores.
  • Servidor TIBCO JasperReports, versión 8.1.0.
  • TIBCO JasperReports Server - Community Edition, versiones 8.1.0 y anteriores.
  • TIBCO JasperReports Server - Developer Edition, versiones 8.1.0 y anteriores.
  • TIBCO JasperReports Server para AWS Marketplace, versiones 8.0.2 y anteriores.
  • TIBCO JasperReports Server para AWS Marketplace, versión 8.1.0.
  • TIBCO JasperReports Server para Microsoft Azure, versiones 8.0.2 y anteriores.
  • TIBCO JasperReports Server para Microsoft Azure, versión 8.1.0.
Descripción

TIBCO ha detectado 3 vulnerabilidades: 2 de severidad crítica y 1 de severidad alta que podrían permitir a un atacante con privilegios de administrador y acceso a la red, ejecutar código de forma remota o un ataque XSS en el sistema afectado.

Solución

TIBCO ha publicado versiones actualizadas de los sistemas afectados:

  • TIBCO JasperReports Server, versiones 8.0.2 y anteriores: versión 8.0.3 o posterior.
  • TIBCO JasperReports Server, versión 8.1.0: versión 8.1.1 o posterior.
  • TIBCO JasperReports Server - Community Edition versiones, 8.1.0 y anteriores: versión 8.1.1 o posterior
  • TIBCO JasperReports Server - Developer Edition versiones, 8.1.0 y anteriores: versión 8.1.1 o posterior.
  • TIBCO JasperReports Server para AWS Marketplace versiones, 8.0.2 y anteriores: versión 8.0.3 o posterior.
  • TIBCO JasperReports Server para AWS Marketplace versión, 8.1.0: versión 8.1.1 o posterior.
  • TIBCO JasperReports Server para Microsoft Azure versiones, 8.0.2 y anteriores: versión 8.0.3 o posterior.
  • TIBCO JasperReports Server para Microsoft Azure versión, 8.1.0: versión 8.1.1 o posterior.
Detalle

Las 2 vulnerabilidades de severidad crítica, podrían permitir que un atacante con permisos de administrador y acceso a la red, ejecute de forma remota código para obtener un shell inverso en el sistema afectado y que este obtenga acceso completo; o que un atacante con pocos privilegios y acceso a la red, ejecute un Stored Cross Site Scripting y este explote recursos asociados que no sean del sistema afectado. Se han asignado los identificadores CVE-2022-41561 y CVE-2022-41563 para estas vulnerabilidades.

La explotación de la vulnerabilidad de severidad alta podría dar como resultado acceso no autorizado de lectura, actualización, inserción o eliminación a JasperReports Server y el bloqueo (DoS) del sistema afectado. Se ha asignado el identificador CVE-2022-41562 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Aviso de seguridad de TIBCO: 13 de diciembre de 2022 - TIBCO JasperReports Server - CVE-2022-41561
Aviso de seguridad de TIBCO: 13 de diciembre de 2022 - TIBCO JasperReports Server - CVE-2022-41563
Aviso de seguridad de TIBCO: 13 de diciembre de 2022 - TIBCO JasperReports Server - CVE-2022-41562
Etiquetas