← voltar
CVE-2018-18809

TIBCO JasperReports Library Directory Traversal Vulnerability

CVSS 9.9 CRITICALEPSS 79.8%● KEVCWE-22
Em resumo

Uma falha no TIBCO JasperReports permite que invasores burlem restrições de pasta e acessem arquivos em qualquer lugar do servidor através de requisições especialmente construídas. Isso é crítico porque invasores conseguem ler arquivos sensíveis do sistema e configurações sem precisar de credenciais especiais.

Detalhe técnico

Vulnerabilidade de traversal de diretório na implementação padrão do servidor permite manipulação de caminho através de requisições web para acessar arquivos arbitrários fora dos diretórios pretendidos. A falha afeta múltiplos produtos de relatórios TIBCO em várias versões; a exploração requer apenas acesso web ao serviço afetado, permitindo divulgação não autorizada de arquivos no sistema.

Resumo gerado e traduzido por IA a partir da descrição oficial.
The default server implementation of TIBCO Software Inc.'s TIBCO JasperReports Library, TIBCO JasperReports Library Community Edition, TIBCO JasperReports Library for ActiveMatrix BPM, TIBCO JasperReports Server, TIBCO JasperReports Server Community Edition, TIBCO JasperReports Server for ActiveMatrix BPM, TIBCO Jaspersoft for AWS with Multi-Tenancy, and TIBCO Jaspersoft Reporting and Analytics for AWS contains a directory-traversal vulnerability that may theoretically allow web server users to access contents of the host system. Affected releases are TIBCO Software Inc.'s TIBCO JasperReports Library: versions up to and including 6.3.4; 6.4.1; 6.4.2; 6.4.21; 7.1.0; 7.2.0, TIBCO JasperReports Library Community Edition: versions up to and including 6.7.0, TIBCO JasperReports Library for ActiveMatrix BPM: versions up to and including 6.4.21, TIBCO JasperReports Server: versions up to and including 6.3.4; 6.4.0; 6.4.1; 6.4.2; 6.4.3; 7.1.0, TIBCO JasperReports Server Community Edition: versions up to and including 6.4.3; 7.1.0, TIBCO JasperReports Server for ActiveMatrix BPM: versions up to and including 6.4.3, TIBCO Jaspersoft for AWS with Multi-Tenancy: versions up to and including 7.1.0, TIBCO Jaspersoft Reporting and Analytics for AWS: versions up to and including 7.1.0.
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Produtos afetados
TIBCO Software Inc. · TIBCO JasperReports LibraryTIBCO Software Inc. · TIBCO JasperReports Library Community EditionTIBCO Software Inc. · TIBCO JasperReports Library for ActiveMatrix BPMTIBCO Software Inc. · TIBCO JasperReports ServerTIBCO Software Inc. · TIBCO JasperReports Server Community EditionTIBCO Software Inc. · TIBCO JasperReports Server for ActiveMatrix BPMTIBCO Software Inc. · TIBCO Jaspersoft for AWS with Multi-TenancyTIBCO Software Inc. · TIBCO Jaspersoft Reporting and Analytics for AWS
PoCs públicas encontradas1
cve_referencepacketstormsecurity.com/files/154406/Tibco-JasperSoft-Path-Traversal.htmlnão verificado
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
http://packetstormsecurity.com/files/154406/Tibco-JasperSoft-Path-Traversal.htmlhttps://cybersecurityworks.com/zerodays/cve-2018-18809-tibco.htmlhttp://seclists.org/fulldisclosure/2019/Sep/17https://security.elarlang.eu/cve-2018-18809-path-traversal-in-tibco-jaspersoft.htmlhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2018-18809https://www.tibco.com/support/advisories/2019/03/tibco-security-advisory-march-6-2019-tibco-jasperreports-library-2018-18809http://www.securityfocus.com/bid/107351http://www.tibco.com/services/support/advisories