← volver
CVE-2018-18815

TIBCO JasperReports Server User Information Disclosure

CVSS 10 CRITICALEPSS 3.1%
En resumen

La API REST en TIBCO JasperReports Server permite que atacantes accedan a información de usuarios sin autenticación al eludir los controles de seguridad. Esto significa que datos sensibles almacenados en el sistema podrían ser expuestos a cualquier persona en la red.

Detalle técnico

Un atacante no autenticado puede eludir controles de autorización en el componente de la API REST, permitiendo acceso directo a recursos protegidos e información de usuarios sin credenciales válidas. La vulnerabilidad afecta las versiones 6.4.0–6.4.3 y 7.1.0 de TIBCO JasperReports Server y productos relacionados, resultando en violación total de confidencialidad.

Resumen generado y traducido por IA a partir de la descripción oficial.
The REST API component of TIBCO Software Inc.'s TIBCO JasperReports Server, TIBCO JasperReports Server Community Edition, TIBCO JasperReports Server for ActiveMatrix BPM, TIBCO Jaspersoft for AWS with Multi-Tenancy, and TIBCO Jaspersoft Reporting and Analytics for AWS contains a vulnerability that theoretically allows unauthenticated users to bypass authorization checks for portions of the HTTP interface to the JasperReports Server. Affected releases are TIBCO Software Inc.'s TIBCO JasperReports Server: 6.4.0; 6.4.1; 6.4.2; 6.4.3; 7.1.0, TIBCO JasperReports Server Community Edition: versions up to and including 7.1.0, TIBCO JasperReports Server for ActiveMatrix BPM: versions up to and including 6.4.3, TIBCO Jaspersoft for AWS with Multi-Tenancy: versions up to and including 7.1.0, and TIBCO Jaspersoft Reporting and Analytics for AWS: versions up to and including 7.1.0.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Productos afectados
TIBCO Software Inc. · TIBCO JasperReports ServerTIBCO Software Inc. · TIBCO JasperReports Server Community EditionTIBCO Software Inc. · TIBCO JasperReports Server for ActiveMatrix BPMTIBCO Software Inc. · TIBCO Jaspersoft for AWS with Multi-TenancyTIBCO Software Inc. · TIBCO Jaspersoft Reporting and Analytics for AWS

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://www.tibco.com/support/advisories/2019/03/tibco-security-advisory-march-6-2019-tibco-jasperreports-library-2018-18809https://www.tibco.com/support/advisories/2019/03/tibco-security-advisory-march-6-2019-tibco-jasperreports-server-2018-18815https://www.zerodayinitiative.com/advisories/ZDI-19-305/http://www.securityfocus.com/bid/107346http://www.tibco.com/services/support/advisories