CISA称两个JasperReports老旧漏洞遭在野利用
编译:代码卫士
美国网络安全和设施安全局 (CISA) 将两个JasperReports漏洞添加至“已知利用漏洞分类”中。
Tibco 公司的JasperReports 库被称为世界上最热门的开源报告引擎。JasperReports Server 软件旨在使非技术用户创建报告、仪表盘和可视化。CISA获悉,在2018年发现的两个JasperReports漏洞已被用于攻击活动中。
其中一个漏洞是CVE-2018-18809,它是位于JasperReports 库中的一个严重的目录遍历漏洞,可导致webserver用户访问位于主机系统上的数据,如访问其它系统的凭据等。该漏洞已在2019年修复。CVE-2018-18809影响使用JasperReports 库的主流厂商的产品,其中包括IBM产品。
第二个漏洞是CVE-2018-5430,它是影响JasperReports服务器的一个高危信息泄露漏洞。该漏洞在2018年4月得到修复。Tibco 公司当时发布安全公告称,“影响包括认证用户可能对包含服务器凭据的web应用配置文件具有只读访问权限。这些凭据随后可用于影响被JasperReports Server 访问的外部系统。”
这两个漏洞的技术详情和 PoC 利用均遭公开披露。
目前虽然尚未有公开报告表示这两个漏洞已遭恶意利用,但CISA只在存在在野利用的可靠证据后才会将漏洞增加到“必修”清单。
Tibco公司目前尚未就此事置评。
CISA要求联邦机构 必须在2023年1月19日前修复CVE-2018-5430和CVE-2018-18809。使用受影响产品的企业也应当尽快安装修复方案。
CISA:注意影响Advantech 和日立工业设备的多个严重漏洞
开源管理工具Cacti修复严重的IP欺骗漏洞
很多大厂都在用的开源开发平台Backstage上存在严重的RCE漏洞
https://www.securityweek.com/cisa-says-two-old-jasperreports-vulnerabilities-exploited-attacks
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。