Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

CISA предупреждает об активной эксплуатации исправленных уязвимостей JasperReports

30/12/22

hack66-Dec-30-2022-11-12-50-2452-AM

Агентство CISA добавило 2 уязвимости в JasperReports от TIBCO Software в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV), сославшись на доказательства активного использования.

Недостатки CVE-2018-5430 (оценка CVSS: 7.7) и CVE-2018-18809 (оценка CVSS: 9.9), были устранены TIBCO в апреле 2018 г. и марте 2019 г. соответственно. Однако, они эксплуатируются киберпреступниками до сих пор.

TIBCO JasperReports — это платформа отчетности и анализа данных на основе Java для создания, распространения и управления отчетами и информационными панелями.

  • CVE-2018-5430 – уязвимость раскрытия информации в серверном компоненте, которая может позволить аутентифицированному злоумышленнику получить доступ для чтения произвольных файлов, которые содержат конфигурации ключей и учетные данные, используемые сервером. Эти учетные данные могут использоваться для воздействия на внешние системы, к которым обращается сервер JasperReports.
  • CVE-2018-18809 – уязвимость обхода каталога в библиотеке JasperReports, которая может позволить пользователю веб-сервера получить доступ к конфиденциальным файлам на хосте, позволяя злоумышленнику украсть учетные данные и проникнуть в другие системы.

CISA не раскрыла никаких дополнительных подробностей о том, как уязвимости используются в реальных атаках. Федеральные агентства в США должны исправить свои системы до 19 января 2023 года.

Темы:TibcoУгрозыCISA
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...