CISA warnt vor aktiver Auswertung von Sicherheitslücken in JasperReports
[ad_1]
Die US-Behörde z. Hd. Cybersicherheit und Infrastruktursicherheit (CISA) hat zwei Jahre Tussi Sicherheitslücken, die sich hinauf dies Produkt JasperReports von TIBCO Software auswirken, in ihren Katalog bekannter ausgenutzter Sicherheitslücken (KEV) aufgenommen und hiermit Hinweise hinauf eine aktive Auswertung angeführt.
Die qua CVE-2018-5430 (CVSS-Ordnung: 7,7) und CVE-2018-18809 (CVSS-Ordnung: 9,9) verfolgten Fehler wurden von TIBCO im vierter Monat des Jahres 2018 bzw. März 2019 behoben.
TIBCO JasperReports ist eine Java-basierte Berichts- und Datenanalyseplattform zum Erstellen, Verteilen und Verwalten von Berichten und Dashboards.
Dasjenige erste dieser beiden Probleme, CVE-2018-5430, bezieht sich hinauf zusammenführen Informationsoffenlegungsfehler in dieser Serverkomponente, dieser es einem authentifizierten Benutzer geben könnte, schreibgeschützten Zugriff hinauf irgendwelche Dateien zu erhalten, einschließlich Schlüsselkonfigurationen.
„Die Auswirkungen zusammenfassen den möglichen schreibgeschützten Zugriff authentifizierter Benutzer hinauf Konfigurationsdateien von Webanwendungen, die die vom Server verwendeten Anmeldeinformationen enthalten“, stellte TIBCO früher Festtag. “Jene Anmeldeinformationen könnten dann verwendet werden, um externe Systeme zu manipulieren, hinauf die dieser JasperReports-Server zugreift.”
CVE-2018-18809 hingegen ist eine Directory-Traversal-Schwachstelle in dieser JasperReports-Bibliothek, die es Webserver-Benutzern geben könnte, hinauf sensible Dateien hinauf dem Host zuzugreifen, welches es einem Angreifer unter Umständen ermöglicht, Anmeldeinformationen zu stehlen und in andere Systeme einzudringen.
CISA gab keine weiteren Einzelheiten darüber namhaft, wie die Schwachstellen in realen Angriffen qua Waffe genutzt werden. Bundesbehörden in den USA sollen ihre Systeme solange bis zum 19. Januar 2023 patchen.
[ad_2]