La Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) ha añadido dos fallos de seguridad de hace años que afectan al producto JasperReports de TIBCO Software a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando pruebas de explotación activa.
Las fallas, rastreadas como CVE-2018-5430 (puntuación CVSS: 7,7) y CVE-2018-18809 (puntuación CVSS: 9,9), fueron abordadas por TIBCO en abril de 2018 y marzo de 2019, respectivamente.
TIBCO JasperReports es una plataforma de informes y análisis de datos basada en Java para crear, distribuir y gestionar informes y cuadros de mando
El primero de los dos problemas, CVE-2018-5430, se refiere a un error de divulgación de información en el componente de servidor que podría permitir a un usuario autenticado obtener acceso de solo lectura a archivos arbitrarios, incluidas configuraciones de claves.
“El impacto incluye el posible acceso de sólo lectura por parte de usuarios autenticados a archivos de configuración de aplicaciones web que contienen las credenciales utilizadas por el servidor”, señaló TIBCO en su momento. “Esas credenciales podrían utilizarse entonces para afectar a sistemas externos a los que accede el servidor JasperReports”.
CVE-2018-18809, por otro lado, es una vulnerabilidad de directory traversal en JasperReports Library que podría permitir a los usuarios del servidor web acceder a archivos confidenciales en el host, lo que potencialmente haría posible que un atacante robara credenciales e irrumpiera en otros sistemas.
CISA no reveló ningún detalle adicional sobre cómo se están utilizando las vulnerabilidades en ataques reales. Las agencias federales de EE.UU. están obligadas a parchear sus sistemas antes del 19 de enero de 2023.
Fuente: thehackernews.com
