Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad de ejecución remota de código en JasperReports Server de TIBCO

Fecha de publicación 11/04/2024
Identificador
INCIBE-2024-0181
Importancia
5 - Crítica
Recursos Afectados
  • TIBCO JasperReports Server, versiones:
    • 8.0.4 y anteriores;
    • 8.2.0 y anteriores.
  • Componente JDBC URL Validation.
Descripción

TIBCO ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir, a un atacante remoto, llevar a cabo una escalada de privilegios, comprometer la red, producir una condición de denegación de servicio, o un ataque de ransomware.

Solución
  • Para las versiones de TIBCO JasperReports Server anteriores a 8.0.4, actualizar a la versión 8.0.4 con el último parche disponible.
  • Para las versiones de TIBCO JasperReports Server anteriores a 8.0.4, actualizar a la versión 8.0.4 con el último parche disponible.
Detalle

El componente mencionado contiene código arbitrario en una máquina remota, conectándose a ella a través de redes públicas o privadas. La ejecución del código puede ser explotada incluso sin acceso previo al sistema. Una ejecución exitosa equivale a un compromiso total del sistema o aplicación afectados, permitiendo al atacante la toma el control de un sistema afectado. Tras obtener acceso al sistema, esta vulnerabilidad podría utilizarse para elevar los privilegios de nivel de usuario a nivel de administrador.

Se ha asignado el identificador CVE-2024-3326 para esta vulnerabilidad.