CISA advierte de las vulnerabilidades del software JasperReports de TIBCO
La Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) ha añadido a su lista de Vulnerabilidades Explotadas Conocidas dos fallos de seguridad de hace dos años, rastreados como CVE-2018-5430 (puntuación CVSS: 7,7) y CVE-2018-18809 (puntuación CVSS: 9,9), que afectan al producto JasperReports de TIBCO Software, citando pruebas de explotación en curso (KEV).
La primera de las dos fallas, CVE-2018-5430, es una falla de divulgación de información de componentes del servidor que podría otorgar a un usuario conectado acceso de solo lectura a cualquier cantidad de archivos, incluidas configuraciones críticas. El impacto incluye la posibilidad de que los usuarios autenticados tengan acceso de solo lectura a los archivos de configuración de la aplicación web que contienen las credenciales del servidor. Según un aviso de Tibco publicado en su momento, esas credenciales podrían utilizarse para afectar a sistemas externos a los que accediera el servidor JasperReports.
También puede referirse a un fallo de divulgación de información del lado del servidor que permite a un usuario autenticado leer archivos arbitrarios. La vulnerabilidad otorga a cualquier usuario autenticado acceso de solo lectura a los contenidos de la aplicación web, incluidos los archivos de configuración clave.
Mientras que la otra falla, CVE-2018-18809 es una falla de cruce de directorio en productos IBM que podría permitir a los usuarios del servidor web acceder a archivos privados en el host, lo que potencialmente permitiría a un atacante robar credenciales y obtener acceso a otros sistemas. Una vulnerabilidad de cruce de directorios en TIBCO JasperReports Library podría permitir a los usuarios del servidor web acceder al contenido del sistema host.
Aunque no parece que existan informes públicos de explotación maliciosa de las dos vulnerabilidades, CISA sólo añade fallos a su lista "Must Patch" si tiene pruebas fiables de explotación en la naturaleza. Ambas vulnerabilidades tienen detalles técnicos y explotaciones de prueba de concepto (PoC) que están disponibles públicamente. La CISA no dio más información sobre cómo se están utilizando las vulnerabilidades como armas en ataques reales, y las agencias federales de Estados Unidos deben parchear sus sistemas antes del 19 de enero de 2023.
JasperReports es una plataforma de generación de informes y análisis de datos basada en Java que se utiliza para crear, distribuir y gestionar informes y cuadros de mando.
Las fuentes de este artículo incluyen un artículo en SecurityAffairs.