ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), katma TIBCO Software’in JasperReports ürününü Bilinen Yararlanılan Güvenlik Açıklarına (KEV) aktif sömürüye dair kanıtlara atıfta bulunan katalog.
İzlenen kusurlar CVE-2018-5430 (CVSS puanı: 7.7) ve CVE-2018-18809 (CVSS puanı: 9,9), sırasıyla Nisan 2018 ve Mart 2019’da TIBCO tarafından ele alınmıştır.
TİBKO Jasper Raporları raporları ve panoları oluşturmak, dağıtmak ve yönetmek için Java tabanlı bir raporlama ve veri analizi platformudur.
İki sayıdan ilki olan CVE-2018-5430, bir bilgi ifşa hatası kimliği doğrulanmış bir kullanıcının anahtar yapılandırmalar da dahil olmak üzere isteğe bağlı dosyalara salt okunur erişim elde etmesini sağlayabilecek sunucu bileşeninde.
TIBCO o sırada “Etki, kimliği doğrulanmış kullanıcıların sunucu tarafından kullanılan kimlik bilgilerini içeren web uygulaması yapılandırma dosyalarına olası salt okunur erişimini içerir.” “Bu kimlik bilgileri daha sonra JasperReports Sunucusu tarafından erişilen harici sistemleri etkilemek için kullanılabilir.”
CVE-2018-18809 ise bir dizin geçişi güvenlik açığı JasperReports Kitaplığı’nda, web sunucusu kullanıcılarının ana bilgisayardaki hassas dosyalara erişmesine izin verebilir, potansiyel olarak bir saldırganın kimlik bilgilerini çalmasına ve diğer sistemlere girmesine olanak tanır.
CISA, güvenlik açıklarının gerçek dünya saldırılarında nasıl silah haline getirildiğine dair herhangi bir ek ayrıntı açıklamadı. ABD’deki federal kurumların 19 Ocak 2023’e kadar sistemlerini düzeltmeleri gerekiyor.
