Контакты
Подписка 2025
ITSEC 2025
Защищенный удаленный доступ к ИТ-инфраструктуре. Обсуждаем решения 3 июля на онлайн-конференции
Регистрируйтесь и участвуйте!

CISA предупреждает об активной эксплуатации исправленных уязвимостей JasperReports

30/12/22

hack66-Dec-30-2022-11-12-50-2452-AM

Агентство CISA добавило 2 уязвимости в JasperReports от TIBCO Software в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV), сославшись на доказательства активного использования.

Недостатки CVE-2018-5430 (оценка CVSS: 7.7) и CVE-2018-18809 (оценка CVSS: 9.9), были устранены TIBCO в апреле 2018 г. и марте 2019 г. соответственно. Однако, они эксплуатируются киберпреступниками до сих пор.

TIBCO JasperReports — это платформа отчетности и анализа данных на основе Java для создания, распространения и управления отчетами и информационными панелями.

  • CVE-2018-5430 – уязвимость раскрытия информации в серверном компоненте, которая может позволить аутентифицированному злоумышленнику получить доступ для чтения произвольных файлов, которые содержат конфигурации ключей и учетные данные, используемые сервером. Эти учетные данные могут использоваться для воздействия на внешние системы, к которым обращается сервер JasperReports.
  • CVE-2018-18809 – уязвимость обхода каталога в библиотеке JasperReports, которая может позволить пользователю веб-сервера получить доступ к конфиденциальным файлам на хосте, позволяя злоумышленнику украсть учетные данные и проникнуть в другие системы.

CISA не раскрыла никаких дополнительных подробностей о том, как уязвимости используются в реальных атаках. Федеральные агентства в США должны исправить свои системы до 19 января 2023 года.

Темы:TibcoУгрозыCISA
КИИ
Как минимизировать киберриски и обеспечить непрерывность бизнеса: управление инцидентами
Узнайте на конференции 31 июля →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Отечественное ПО для объектов КИИ
Участвуйте 23 июля →

Еще темы...

More...