Divulgación de información de usuario en JasperReports Server de TIBCO

Fecha de publicación: 07/03/2019

Importancia:
Crítica

Recursos afectados:

  • TIBCO JasperReports Server, versiones 6.4.0, 6.4.1, 6.4.2, y 6.4.3
  • TIBCO JasperReports Server, versión 7.1.0
  • TIBCO JasperReports Server Community Edition, versiones 7.1.0 y anteriores
  • TIBCO JasperReports Server para ActiveMatrix BPM, versiones 6.4.3 y anteriores
  • TIBCO Jaspersoft para AWS with Multi-Tenancy, versiones 7.1.0 y anteriores
  • TIBCO Jaspersoft Reporting y Analytics para AWS, versiones 7.1.0 y anteriores

Descripción:

TIBCO ha publicado una vulnerabilidad descubierta por Steven Seeley (mr_me), de Source Incite trabajando con Trend Micro Zero Day Initiative, que podría permitir a un atacante no autenticado eludir las verificaciones de autorización de partes de la interfaz HTTP de JasperReports Server.

Solución:

  • Para TIBCO JasperReports Server, versiones 6.4.0, 6.4.1, 6.4.2, y 6.4.3: actualizar a la versión 6.4.4 o superior.
  • Para TIBCO JasperReports Server, versión 7.1.0: actualizar a la versión 7.1.1 o superior.
  • Para TIBCO JasperReports Server Community Edition, versiones 7.1.0 y anteriores: actualizar a la versión 7.1.1 o superior.
  • Para TIBCO JasperReports Server para ActiveMatrix BPM, versiones 6.4.3 y anteriores: actualizar a la versión 6.4.4 o superior.
  • Para TIBCO Jaspersoft para AWS with Multi-Tenancy, versiones 7.1.0 y anteriores: actualizar a la versión 7.1.1 o superior.
  • Para TIBCO Jaspersoft Reporting y Analytics para AWS, versiones 7.1.0 y anteriores: actualizar a la versión 7.1.1 o superior.

Detalle:

  • Esta vulnerabilidad, para la que se ha reservado el identificador CVE-2018-18815, podría permitir a un atacante el acceso de lectura no autenticado a los contenidos del sistema host, cuando se combina con la vulnerabilidad identificada por el CVE-2018-18809.

Encuesta valoración

Etiquetas:
Actualización, Comunicaciones, Vulnerabilidad

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.