ГлавнаяБаза уязвимостей БДУ → BDU:2023-01106
6.8высокая

BDU:2023-01106

Уязвимость приложений для создания отчетов TIBCO JasperReports Server, TIBCO JasperReports Server Community Edition, TIBCO JasperReports Server for ActiveMatrix BPM, TIBCO Jaspersoft for AWS with Multi-Tenancy, и TIBCO Jaspersoft Reporting and Analytics for AWS, существующая из-за неверного ограничения имени пути к каталогу с ограниченным доступом, позволяющая нарушителю раскрыть защищаемую информацию
Опубликовано: 2023-03-07
Описание

Уязвимость приложений для создания отчетов TIBCO JasperReports Server, TIBCO JasperReports Server Community Edition, TIBCO JasperReports Server for ActiveMatrix BPM, TIBCO Jaspersoft for AWS with Multi-Tenancy, и TIBCO Jaspersoft Reporting and Analytics for AWS существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию

Затрагиваемое ПО и версии
JasperReports Server (до 6.2.4 включительно)JasperReports Server (6.3.0)JasperReports Server (6.3.2)JasperReports Server (6.3.3)JasperReports Server (6.4.0)JasperReports Server (6.4.2)JasperReports Server Community Edition (до 6.4.2 включительно)JasperReports Server for ActiveMatrix BPM (до 6.4.2 включительно)Jaspersoft for AWS with Multi-Tenancy (до 6.4.2 включительно)Jaspersoft Reporting and Analytics for AWS (до 6.4.2 включительно)
Способ устранения

Использование рекомендаций производителя:
https://www.tibco.com/support/advisories/2018/04/tibco-security-advisory-april-17-2018-tibco-jasperreports-2018-5430

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://www.itsec.ru/news/cisa-preduprezhdayet-ob-aktivnoy-expluatazii-ispravlannih-uyazvimostey-jasperreportshttps://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv
Проверьте безопасность своего сайта и почты → Полная проверка домена