La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha adicional fallas de seguridad de hace dos años que afectan el producto JasperReports de TIBCO Software a sus vulnerabilidades conocidas explotadas (KEV) catálogo, citando evidencia de explotación activa.
Los defectos, rastreados como CVE-2018-5430 (puntuación CVSS: 7,7) y CVE-2018-18809 (puntaje CVSS: 9.9), fueron abordados por TIBCO en abril de 2018 y marzo de 2019, respectivamente.
TIBCO JasperInformes es una plataforma de análisis de datos y generación de informes basada en Java para crear, distribuir y administrar informes y tableros.
El primero de los dos números, CVE-2018-5430, se refiere a un error de divulgación de información en el componente del servidor que podría permitir que un usuario autenticado obtenga acceso de solo lectura a archivos arbitrarios, incluidas configuraciones clave.
«El impacto incluye el posible acceso de solo lectura por parte de usuarios autenticados a los archivos de configuración de la aplicación web que contienen las credenciales utilizadas por el servidor», señaló TIBCO en ese momento. «Esas credenciales podrían usarse para afectar los sistemas externos a los que accede el servidor JasperReports».
CVE-2018-18809, por otro lado, es un vulnerabilidad de cruce de directorio en la biblioteca JasperReports que podría permitir a los usuarios del servidor web acceder a archivos confidenciales en el host, lo que podría hacer posible que un atacante robe credenciales e ingrese a otros sistemas.
CISA no reveló ningún detalle adicional sobre cómo las vulnerabilidades se utilizan como armas en los ataques del mundo real. Las agencias federales en los EE. UU. deben parchear sus sistemas antes del 19 de enero de 2023.