CISA agrega vulnerabilidades de JasperReports a su catálogo de vulnerabilidades conocidas explotadas

US CISA agregó las vulnerabilidades JasperReports de TIBCO Software a su catálogo de vulnerabilidades conocidas explotadas.

US CISA agregó las vulnerabilidades JasperReports de TIBCO Software, rastreadas como  CVE-2018-5430  (puntaje CVSS: 7.7) y  CVE-2018-18809  (puntaje CVSS: 9.9) a su catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ).

TIBCO JasperReports  es una herramienta de generación de informes Java de código abierto para crear y administrar informes y paneles.

De acuerdo con  la Directiva operativa vinculante (BOD) 22-01: Reducción del riesgo significativo de vulnerabilidades explotadas conocidas, las agencias de FCEB deben abordar las vulnerabilidades identificadas antes de la fecha de vencimiento para proteger sus redes contra ataques que explotan las vulnerabilidades en el catálogo.

Los expertos recomiendan también que las organizaciones privadas revisen el  Catálogo  y aborden las vulnerabilidades en su infraestructura.

A continuación se muestran las vulnerabilidades añadidas al catálogo:

  • CVE-2018-5430 : TIBCO JasperReports Server contiene una vulnerabilidad que puede permitir que cualquier usuario autenticado tenga acceso de solo lectura al contenido de la aplicación web, incluidos los archivos de configuración clave.
  • CVE-2018-18809 : la biblioteca TIBCO JasperReports contiene una vulnerabilidad transversal de directorio que puede permitir a los usuarios del servidor web acceder al contenido del sistema host.

Las agencias federales de EE. UU. deben abordar estas vulnerabilidades en sus sistemas antes del 19 de enero de 2023.

Fuente: https://securityaffairs.com/140131/security/known-exploited-vulnerabilities-catalog-jasperreports.html