6.8средняя
BDU:2023-00914 (CVE-2018-18809)
Уязвимость серверной библиотеки приложений для создания отчетов TIBCO JasperReports Library, JasperReports Library for ActiveMatrix BPM, JasperReports Server, JasperReports Server for AWS Marketplace, JasperReports Server for ActiveMatrix BPM, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю раскрыть защищаемую информацию
Опубликовано: 2023-03-01
Описание
Уязвимость серверной библиотеки приложений для создания отчетов TIBCO JasperReports Library, JasperReports Library for ActiveMatrix BPM, JasperReports Server, JasperReports Server for AWS Marketplace, JasperReports Server for ActiveMatrix BPM связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию
Затрагиваемое ПО и версии
JasperReports Library (7.2.0)JasperReports Library (6.3.4)JasperReports Library (6.4.1)JasperReports Library (6.4.2)JasperReports Library (6.4.21)JasperReports Library (7.1.0)JasperReports Library (6.4.3)JasperReports Library for ActiveMatrix BPM (до 6.4.21 включительно)JasperReports Server Community Edition (до 6.7.0 включительно)JasperReports Server for ActiveMatrix BPM (до 6.4.3 включительно)JasperReports Server Community Edition (до 6.4.3 включительно)Jaspersoft Reporting and Analytics for AWS (до 7.1.0 включительно)Jaspersoft for AWS with Multi-Tenancy (до 7.1.0 включительно)
Способ устранения
Использование рекомендаций производителя:
https://www.tibco.com/support/advisories/2019/03/tibco-security-advisory-march-6-2019-tibco-jasperreports-library-2018-18809
Оценка CVSS
| Балл | 6.8 — средняя опасность |
Источники и патчи