Новости CISA предупреждает об активной эксплуатации исправленных уязвимостей JasperReports

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022

Уязвимости позволяют украсть учетные данные и проникнуть в систему пользователя.​


6rai47yoovms31twd5kxs0r1i2kie0km.jpg


Агентство CISA Для просмотра ссылки Войди или Зарегистрируйся 2 уязвимости в JasperReports от TIBCO Software в свой каталог известных эксплуатируемых уязвимостей ( Для просмотра ссылки Войди или Зарегистрируйся ), сославшись на доказательства активного использования.

Недостатки Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 7.7) и Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 9.9), были устранены TIBCO в апреле 2018 г. и марте 2019 г. соответственно. Однако, они эксплуатируются киберпреступниками до сих пор.

TIBCO JasperReports — это платформа отчетности и анализа данных на основе [URL='/glossary/Java/" class="glossary" data-content=" Java – язык программирования, который был разработан компанией Sun Microsystems. Приложения Java, как правило, компилируются в специальный байт-код, что позволяет им работать на любой виртуальной Java-машине в независимости от компьютерной архитектуры. Байт-код не зависит от операционной системы и оборудования и позволяет выполнять Java-приложения на любом устройстве, для которого существует соответствующая виртуальная машина.

" data-html="true" data-original-title="Java" >Java[/URL] для создания, распространения и управления отчетами и информационными панелями.

  • CVE-2018-5430– уязвимость раскрытия информации в серверном компоненте, которая может позволить аутентифицированному злоумышленнику получить доступ для чтения произвольных файлов, которые содержат конфигурации ключей и учетные данные, используемые сервером. Эти учетные данные могут использоваться для воздействия на внешние системы, к которым обращается сервер JasperReports.
  • CVE-2018-18809– уязвимость обхода каталога в библиотеке JasperReports, которая может позволить пользователю веб-сервера получить доступ к конфиденциальным файлам на хосте, позволяя злоумышленнику украсть учетные данные и проникнуть в другие системы.

CISA не раскрыла никаких дополнительных подробностей о том, как уязвимости используются в реальных атаках. Федеральные агентства в США должны исправить свои системы до 19 января 2023 года.
 
Источник новости
www.securitylab.ru

Похожие темы