30 décembre 2022Ravie LakshmananGestion des correctifs

Vulnérabilités De Jasperreports

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajoutée des failles de sécurité vieilles de deux ans affectant le produit JasperReports de TIBCO Software à ses vulnérabilités exploitées connues (KEV) catalogue, citant des preuves d’exploitation active.

Les défauts, suivis comme CVE-2018-5430 (score CVSS : 7,7) et CVE-2018-18809 (score CVSS : 9,9), ont été traités par TIBCO en avril 2018 et mars 2019, respectivement.

TIBCO JasperReports est une plate-forme de reporting et d’analyse de données basée sur Java pour la création, la distribution et la gestion de rapports et de tableaux de bord.

La Cyber-Sécurité

Le premier des deux problèmes, CVE-2018-5430, concerne un bogue de divulgation d’informations dans le composant serveur qui pourrait permettre à un utilisateur authentifié d’obtenir un accès en lecture seule à des fichiers arbitraires, y compris des configurations de clé.

Publicité

« L’impact inclut l’accès possible en lecture seule par des utilisateurs authentifiés aux fichiers de configuration d’applications Web contenant les informations d’identification utilisées par le serveur », a noté TIBCO à l’époque. « Ces informations d’identification pourraient ensuite être utilisées pour affecter les systèmes externes auxquels le serveur JasperReports accède. »

CVE-2018-18809, d’autre part, est un vulnérabilité de traversée de répertoire dans la bibliothèque JasperReports qui pourrait permettre aux utilisateurs du serveur Web d’accéder à des fichiers sensibles sur l’hôte, permettant potentiellement à un attaquant de voler des informations d’identification et de s’introduire dans d’autres systèmes.

La CISA n’a pas divulgué de détails supplémentaires sur la façon dont les vulnérabilités sont militarisées lors d’attaques réelles. Les agences fédérales aux États-Unis sont tenues de corriger leurs systèmes d’ici le 19 janvier 2023.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentApplications essentielles indispensables pour les utilisateurs de bureau Linux
Article suivantLa famille royale serait enfin « prête à répondre » au prince Harry une fois ses mémoires publiées
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici