Múltiples vulnerabilidades en JasperReports de TIBCO

Fecha de publicación 20/05/2020

Importancia

5 - Crítica

Recursos Afectados

Descripción

Se han identificado dos vulnerabilidades, una de severidad crítica y otra alta, de tipo escalada de privilegios e inyección HTML.

Solución

TIBCO JasperReports Server:
- versión 7.1.1 y anteriores, actualizar a 7.1.3 o posteriores;
- versión 7.2.0 y anteriores, actualizar a 7.2.1 o posteriores;
- versión 7.5.0 y anteriores, actualizar a 7.5.1 o posteriores;
TIBCO JasperReports Server para AWS Marketplace, versión 7.5.0 y anteriores, actualizar a 7.5.1 o posteriores;
TIBCO JasperReports Server para ActiveMatrix BPM, versión 7.1.1 y anteriores, actualizar a 7.1.3 o posteriores;
TIBCO JasperReports Library:
- versión 7.1.1 y anteriores, actualizar a 7.1.3 o posteriores;
- versiones 7.2.0 y 7.2.1, actualizar a 7.2.2 o posteriores;
- versión 7.3.0, actualizar a 7.3.1 o posteriores;
- versión 7.5.0, actualizar a 7.5.1 o posteriores;
TIBCO JasperReports Library para ActiveMatrix BPM, versión 7.1.1 y anteriores, actualizar a 7.1.3 o posteriores.

Detalle

Un atacante remoto, sin autenticar, podría obtener permisos de superuser en JasperReports Server y ejecutar código arbitrario en el sistema afectado. Se ha reservado el identificador CVE-2020-9409 para esta vulnerabilidad.
Un atacante podría realizar una inyección HTML (también conocido como XSS persistente) para obtener el control total de una interfaz web que contiene la salida del componente generador de informes, pudiendo obtener así el nivel de privilegios del propietario con más privilegios que visualice un informe especialmente diseñado. Se ha reservado el identificador CVE-2020-9410 para esta vulnerabilidad.

Listado de referencias

Etiquetas