Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) добавило в каталог известных эксплуатируемых уязвимостей (KEV) недостатки безопасности двухлетней давности, затрагивающие продукт JasperReports компании TIBCO Software, ссылаясь на доказательства активной эксплуатации.
Недостатки, отслеживаемые как CVE-2018-5430 (рейтинг CVSS: 7.7) и CVE-2018-18809 (рейтинг CVSS: 9.9), были устранены компанией TIBCO в апреле 2018 года и марте 2019 года соответственно.
TIBCO JasperReports - это платформа отчетности и анализа данных на базе Java для создания, распространения и управления отчетами и информационными панелями.
Первая из двух проблем, CVE-2018-5430, связана с ошибкой раскрытия информации в серверном компоненте, которая может позволить аутентифицированному пользователю получить доступ только для чтения к произвольным файлам, включая ключевые конфигурации.
«Воздействие включает в себя возможный доступ аутентифицированных пользователей только для чтения к конфигурационным файлам веб-приложений, которые содержат учетные данные, используемые сервером» - отметили тогда в TIBCO. «Эти учетные данные могут быть использованы для воздействия на внешние системы, к которым обращается JasperReports Server».
CVE-2018-18809, с другой стороны, представляет собой уязвимость обхода каталога в библиотеке JasperReports, которая может позволить пользователям веб-сервера получить доступ к конфиденциальным файлам на хосте, что потенциально дает возможность злоумышленнику украсть учетные данные и проникнуть в другие системы.
CISA не раскрыла никакой дополнительной информации о том, как эти уязвимости используются в реальных атаках. Федеральные агентства в США обязаны поставить патчи на свои системы до 19 января 2023 года.
Источник: https://thehackernews.com
