Ngày 30 tháng 12 năm 2022Ravie LakshmananQuản lý bản vá
Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) đã bổ sung các lỗi bảo mật đã tồn tại hai năm ảnh hưởng đến sản phẩm JasperReports của TIBCO Software vào danh mục Các lỗ hổng bị khai thác đã biết (KEV) của mình, trích dẫn bằng chứng về việc khai thác tích cực.
Các lỗ hổng, được theo dõi là CVE-2018-5430 (điểm CVSS: 7,7) và CVE-2018-18809 (điểm CVSS: 9,9), đã được TIBCO xử lý lần lượt vào tháng 4 năm 2018 và tháng 3 năm 2019.
TIBCO JasperReports là một nền tảng phân tích dữ liệu và báo cáo dựa trên Java để tạo, phân phối và quản lý các báo cáo cũng như bảng điều khiển.
Vấn đề đầu tiên trong số hai vấn đề, CVE-2018-5430, liên quan đến lỗi tiết lộ thông tin trong thành phần máy chủ có thể cho phép người dùng được xác thực có quyền truy cập chỉ đọc vào các tệp tùy ý, bao gồm cả cấu hình chính.
TIBCO lưu ý vào thời điểm đó: “Tác động bao gồm quyền truy cập chỉ đọc có thể có của người dùng được xác thực vào các tệp cấu hình ứng dụng web có chứa thông tin xác thực được máy chủ sử dụng”. “Những thông tin đăng nhập đó sau đó có thể được sử dụng để tác động đến các hệ thống bên ngoài được Máy chủ JasperReports truy cập.”
Mặt khác, CVE-2018-18809 là một lỗ hổng truyền tải thư mục trong Thư viện JasperReports có thể cho phép người dùng máy chủ web truy cập các tệp nhạy cảm trên máy chủ, có khả năng khiến kẻ tấn công có thể đánh cắp thông tin xác thực và đột nhập vào các hệ thống khác.
CISA đã không tiết lộ bất kỳ chi tiết cụ thể bổ sung nào về cách các lỗ hổng đang được vũ khí hóa trong các cuộc tấn công trong thế giới thực. Các cơ quan liên bang ở Hoa Kỳ phải vá hệ thống của họ trước ngày 19 tháng 1 năm 2023.
