Le CISA met en garde contre les vulnérabilités du logiciel JasperReports de TIBCO
L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté à sa liste des vulnérabilités connues et exploitées deux failles de sécurité vieilles de deux ans, repérées sous les noms de CVE-2018-5430 (score CVSS : 7,7) et CVE-2018-18809 (score CVSS : 9,9), affectant le produit JasperReports de TIBCO Software, en citant des preuves d'exploitation en cours (KEV).
La première des deux failles, CVE-2018-5430, est une faille de divulgation d'informations sur un composant de serveur qui pourrait accorder à un utilisateur connecté un accès en lecture seule à un nombre quelconque de fichiers, y compris des configurations critiques. L'impact inclut la possibilité pour les utilisateurs authentifiés d'avoir un accès en lecture seule aux fichiers de configuration des applications web contenant les informations d'identification du serveur. Selon un avis de Tibco publié à l'époque, ces informations d'identification pourraient alors être utilisées pour affecter les systèmes externes auxquels le serveur JasperReports a accès.
Elle peut également faire référence à un bogue de divulgation d'informations côté serveur qui permet à un utilisateur authentifié de lire des fichiers arbitraires. La vulnérabilité accorde à tout utilisateur authentifié un accès en lecture seule au contenu de l'application web, y compris aux principaux fichiers de configuration.
L'autre faille, CVE-2018-18809, est une faille de traversée de répertoire dans les produits IBM qui pourrait permettre aux utilisateurs de serveurs web d'accéder à des fichiers privés sur l'hôte, permettant potentiellement à un attaquant de voler des informations d'identification et d'accéder à d'autres systèmes. Une vulnérabilité de traversée de répertoire dans la bibliothèque TIBCO JasperReports pourrait permettre aux utilisateurs du serveur web d'accéder au contenu du système hôte.
Bien qu'aucun rapport public d'exploitation malveillante des deux vulnérabilités ne semble exister, le CISA n'ajoute des failles à sa liste des "correctifs obligatoires" que s'il dispose de preuves fiables d'exploitation dans la nature. Les deux vulnérabilités présentent des détails techniques et des exploits de type "proof-of-concept" (PoC) qui sont accessibles au public. La CISA n'a pas donné d'autres informations sur la façon dont les vulnérabilités sont utilisées comme armes dans des attaques réelles. Les agences fédérales des États-Unis doivent mettre à jour leurs systèmes d'ici le 19 janvier 2023.
JasperReports est une plateforme de reporting et d'analyse de données basée sur Java, utilisée pour créer, distribuer et gérer des rapports et des tableaux de bord.
Les sources de cet article comprennent un article de SecurityAffairs.