La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajoutée des failles de sécurité vieilles de deux ans affectant le produit JasperReports de TIBCO Software à ses vulnérabilités exploitées connues (KEV) catalogue, citant des preuves d’exploitation active.
Les défauts, suivis comme CVE-2018-5430 (score CVSS : 7,7) et CVE-2018-18809 (score CVSS : 9,9), ont été traités par TIBCO en avril 2018 et mars 2019, respectivement.
TIBCO JasperReports est une plate-forme de reporting et d’analyse de données basée sur Java pour la création, la distribution et la gestion de rapports et de tableaux de bord.
Le premier des deux problèmes, CVE-2018-5430, concerne un bogue de divulgation d’informations dans le composant serveur qui pourrait permettre à un utilisateur authentifié d’obtenir un accès en lecture seule à des fichiers arbitraires, y compris des configurations de clé.
« L’impact inclut l’accès possible en lecture seule par des utilisateurs authentifiés aux fichiers de configuration d’applications Web contenant les informations d’identification utilisées par le serveur », a noté TIBCO à l’époque. « Ces informations d’identification pourraient ensuite être utilisées pour affecter les systèmes externes auxquels le serveur JasperReports accède. »
CVE-2018-18809, d’autre part, est un vulnérabilité de traversée de répertoire dans la bibliothèque JasperReports qui pourrait permettre aux utilisateurs du serveur Web d’accéder à des fichiers sensibles sur l’hôte, permettant potentiellement à un attaquant de voler des informations d’identification et de s’introduire dans d’autres systèmes.
La CISA n’a pas divulgué de détails supplémentaires sur la façon dont les vulnérabilités sont militarisées lors d’attaques réelles. Les agences fédérales aux États-Unis sont tenues de corriger leurs systèmes d’ici le 19 janvier 2023.
