Inicio / Alerta Temprana / Avisos Seguridad / Divulgación de información de usuario en JasperReports Server de TIBCO

Divulgación de información de usuario en JasperReports Server de TIBCO

Fecha de publicación: 
07/03/2019
Importancia: 
5 - Crítica
Recursos afectados: 
  • TIBCO JasperReports Server, versiones 6.4.0, 6.4.1, 6.4.2, y 6.4.3
  • TIBCO JasperReports Server, versión 7.1.0
  • TIBCO JasperReports Server Community Edition, versiones 7.1.0 y anteriores
  • TIBCO JasperReports Server para ActiveMatrix BPM, versiones 6.4.3 y anteriores
  • TIBCO Jaspersoft para AWS with Multi-Tenancy, versiones 7.1.0 y anteriores
  • TIBCO Jaspersoft Reporting y Analytics para AWS, versiones 7.1.0 y anteriores
Descripción: 

TIBCO ha publicado una vulnerabilidad descubierta por Steven Seeley (mr_me), de Source Incite trabajando con Trend Micro Zero Day Initiative, que podría permitir a un atacante no autenticado eludir las verificaciones de autorización de partes de la interfaz HTTP de JasperReports Server.

Solución: 
  • Para TIBCO JasperReports Server, versiones 6.4.0, 6.4.1, 6.4.2, y 6.4.3: actualizar a la versión 6.4.4 o superior.
  • Para TIBCO JasperReports Server, versión 7.1.0: actualizar a la versión 7.1.1 o superior.
  • Para TIBCO JasperReports Server Community Edition, versiones 7.1.0 y anteriores: actualizar a la versión 7.1.1 o superior.
  • Para TIBCO JasperReports Server para ActiveMatrix BPM, versiones 6.4.3 y anteriores: actualizar a la versión 6.4.4 o superior.
  • Para TIBCO Jaspersoft para AWS with Multi-Tenancy, versiones 7.1.0 y anteriores: actualizar a la versión 7.1.1 o superior.
  • Para TIBCO Jaspersoft Reporting y Analytics para AWS, versiones 7.1.0 y anteriores: actualizar a la versión 7.1.1 o superior.
Detalle: 
  • Esta vulnerabilidad, para la que se ha reservado el identificador CVE-2018-18815, podría permitir a un atacante el acceso de lectura no autenticado a los contenidos del sistema host, cuando se combina con la vulnerabilidad identificada por el CVE-2018-18809.

Encuesta valoración