6.8высокая
BDU:2023-01106
Уязвимость приложений для создания отчетов TIBCO JasperReports Server, TIBCO JasperReports Server Community Edition, TIBCO JasperReports Server for ActiveMatrix BPM, TIBCO Jaspersoft for AWS with Multi-Tenancy, и TIBCO Jaspersoft Reporting and Analytics for AWS, существующая из-за неверного ограничения имени пути к каталогу с ограниченным доступом, позволяющая нарушителю раскрыть защищаемую информацию
Опубликовано: 2023-03-07
Описание
Уязвимость приложений для создания отчетов TIBCO JasperReports Server, TIBCO JasperReports Server Community Edition, TIBCO JasperReports Server for ActiveMatrix BPM, TIBCO Jaspersoft for AWS with Multi-Tenancy, и TIBCO Jaspersoft Reporting and Analytics for AWS существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию
Затрагиваемое ПО и версии
JasperReports Server (до 6.2.4 включительно)JasperReports Server (6.3.0)JasperReports Server (6.3.2)JasperReports Server (6.3.3)JasperReports Server (6.4.0)JasperReports Server (6.4.2)JasperReports Server Community Edition (до 6.4.2 включительно)JasperReports Server for ActiveMatrix BPM (до 6.4.2 включительно)Jaspersoft for AWS with Multi-Tenancy (до 6.4.2 включительно)Jaspersoft Reporting and Analytics for AWS (до 6.4.2 включительно)
Способ устранения
Использование рекомендаций производителя:
https://www.tibco.com/support/advisories/2018/04/tibco-security-advisory-april-17-2018-tibco-jasperreports-2018-5430
Оценка CVSS
| Балл | 6.8 — высокая опасность |
Источники и патчи