← voltar
CVE-2018-18815

TIBCO JasperReports Server User Information Disclosure

CVSS 10 CRITICALEPSS 3.1%
Em resumo

A API REST do TIBCO JasperReports Server permite que atacantes acessem informações de usuários sem autenticação, contornando os mecanismos de segurança. Isso significa que dados sensíveis armazenados no sistema podem ser expostos para qualquer pessoa na rede.

Detalhe técnico

Um atacante não autenticado pode contornar controles de autorização no componente REST API, obtendo acesso direto a recursos protegidos e informações de usuários sem credenciais válidas. A vulnerabilidade afeta as versões 6.4.0–6.4.3 e 7.1.0 do TIBCO JasperReports Server e produtos relacionados, resultando em violação completa de confidencialidade.

Resumo gerado e traduzido por IA a partir da descrição oficial.
The REST API component of TIBCO Software Inc.'s TIBCO JasperReports Server, TIBCO JasperReports Server Community Edition, TIBCO JasperReports Server for ActiveMatrix BPM, TIBCO Jaspersoft for AWS with Multi-Tenancy, and TIBCO Jaspersoft Reporting and Analytics for AWS contains a vulnerability that theoretically allows unauthenticated users to bypass authorization checks for portions of the HTTP interface to the JasperReports Server. Affected releases are TIBCO Software Inc.'s TIBCO JasperReports Server: 6.4.0; 6.4.1; 6.4.2; 6.4.3; 7.1.0, TIBCO JasperReports Server Community Edition: versions up to and including 7.1.0, TIBCO JasperReports Server for ActiveMatrix BPM: versions up to and including 6.4.3, TIBCO Jaspersoft for AWS with Multi-Tenancy: versions up to and including 7.1.0, and TIBCO Jaspersoft Reporting and Analytics for AWS: versions up to and including 7.1.0.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Produtos afetados
TIBCO Software Inc. · TIBCO JasperReports ServerTIBCO Software Inc. · TIBCO JasperReports Server Community EditionTIBCO Software Inc. · TIBCO JasperReports Server for ActiveMatrix BPMTIBCO Software Inc. · TIBCO Jaspersoft for AWS with Multi-TenancyTIBCO Software Inc. · TIBCO Jaspersoft Reporting and Analytics for AWS

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://www.tibco.com/support/advisories/2019/03/tibco-security-advisory-march-6-2019-tibco-jasperreports-library-2018-18809https://www.tibco.com/support/advisories/2019/03/tibco-security-advisory-march-6-2019-tibco-jasperreports-server-2018-18815https://www.zerodayinitiative.com/advisories/ZDI-19-305/http://www.securityfocus.com/bid/107346http://www.tibco.com/services/support/advisories