CVE-2022-22771
TIBCO JasperReports Library Directory Traversal Vulnerability
En resumen
Un defecto en TIBCO JasperReports permite que atacantes lean archivos del servidor al eludir restricciones de directorios. Un atacante puede acceder a datos sensibles almacenados en el servidor sin autorización adecuada.
Detalle técnico
Vulnerabilidad de traversal de directorios en el componente Server permite que usuarios web elidan validaciones de rutas de archivo mediante caracteres especiales (como ../) para acceder a archivos arbitrarios del sistema de archivos. Afecta múltiples productos TIBCO JasperReports en versiones 7.9.0 a 7.9.1.
Resumen generado y traducido por IA a partir de la descripción oficial.
The Server component of TIBCO Software Inc.'s TIBCO JasperReports Library, TIBCO JasperReports Library for ActiveMatrix BPM, TIBCO JasperReports Server, TIBCO JasperReports Server for AWS Marketplace, TIBCO JasperReports Server for ActiveMatrix BPM, and TIBCO JasperReports Server for Microsoft Azure contains a directory-traversal vulnerability that may theoretically allow web server users to access contents of the host system. Affected releases are TIBCO Software Inc.'s TIBCO JasperReports Library: version 7.9.0, TIBCO JasperReports Library for ActiveMatrix BPM: version 7.9.0, TIBCO JasperReports Server: versions 7.9.0 and 7.9.1, TIBCO JasperReports Server for AWS Marketplace: versions 7.9.0 and 7.9.1, TIBCO JasperReports Server for ActiveMatrix BPM: versions 7.9.0 and 7.9.1, and TIBCO JasperReports Server for Microsoft Azure: version 7.9.1.
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Productos afectados
TIBCO Software Inc. · TIBCO JasperReports LibraryTIBCO Software Inc. · TIBCO JasperReports Library for ActiveMatrix BPMTIBCO Software Inc. · TIBCO JasperReports ServerTIBCO Software Inc. · TIBCO JasperReports Server for ActiveMatrix BPMTIBCO Software Inc. · TIBCO JasperReports Server for AWS MarketplaceTIBCO Software Inc. · TIBCO JasperReports Server for Microsoft Azure¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →