CISA يحذر من الاستغلال النشط لثغرات JasperReports

أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) عيوبًا أمنية عمرها عامين تؤثر على منتج JasperReports من TIBCO Software إلى كتالوجها المعروف عن الثغرات الأمنية المستغلة (KEV). مستشهدة بأدلة على الاستغلال النشط. CISA يحذر من الاستغلال

عالجت TIBCO العيوب. التي تم تتبعها كـ CVE-2018-5430 (درجة CVSS: 7.7) و CVE-2018-18809 (درجة CVSS: 9.9) ، في أبريل 2018 ومارس 2019 على التوالي.

جاسبر ريبورتس تيبكو عبارة عن منصة قائمة على جافا لإعداد التقارير وتحليلات البيانات لإنشاء التقارير ولوحات المعلومات وتوزيعها وإدارتها.

تتعلق المشكلة الأولى من هاتين المسألتين. CVE-2018-5430. بخلل في الكشف عن المعلومات في مكون الخادم يمكن أن يمكّن المستخدم المصادق عليه من الوصول للقراءة فقط إلى الملفات التعسفية. بما في ذلك تكوينات المفاتيح.

أشارت TIBCO في ذلك الوقت إلى أن “التأثير يشمل إمكانية الوصول للقراءة فقط من قبل المستخدمين المصادق عليهم إلى ملفات تكوين تطبيقات الويب التي تحتوي على بيانات الاعتماد التي يستخدمها الخادم”. “يمكن بعد ذلك استخدام بيانات الاعتماد هذه للتأثير على الأنظمة الخارجية التي يتم الوصول إليها بواسطة خادم JasperReports.”

من ناحية أخرى. تعد CVE-2018-18809 ثغرة أمنية لاجتياز الدليل في مكتبة JasperReports والتي قد تسمح لمستخدمي خادم الويب بالوصول إلى الملفات الحساسة على المضيف. مما قد يجعل من الممكن للمهاجمين سرقة بيانات الاعتماد واقتحام أنظمة أخرى. CISA يحذر من الاستغلال

لم تكشف CISA عن أي تفاصيل إضافية حول كيفية تسليح نقاط الضعف في هجمات العالم الحقيقي. يتعين على الوكالات الفيدرالية في الولايات المتحدة تصحيح أنظمتها بحلول 19 يناير 2023.