Múltiples vulnerabilidades que afectan a productos de TIBCO

Fecha de publicación: 14/12/2022

Importancia:
Crítica

Recursos afectados:

  • TIBCO JasperReports Server, versiones 8.0.2 y anteriores.
  • Servidor TIBCO JasperReports, versión 8.1.0.
  • TIBCO JasperReports Server – Community Edition, versiones 8.1.0 y anteriores.
  • TIBCO JasperReports Server – Developer Edition, versiones 8.1.0 y anteriores.
  • TIBCO JasperReports Server para AWS Marketplace, versiones 8.0.2 y anteriores.
  • TIBCO JasperReports Server para AWS Marketplace, versión 8.1.0.
  • TIBCO JasperReports Server para Microsoft Azure, versiones 8.0.2 y anteriores.
  • TIBCO JasperReports Server para Microsoft Azure, versión 8.1.0.

Descripción:

TIBCO ha detectado 3 vulnerabilidades: 2 de severidad crítica y 1 de severidad alta que podrían permitir a un atacante con privilegios de administrador y acceso a la red, ejecutar código de forma remota o un ataque XSS en el sistema afectado.

Solución:

TIBCO ha publicado versiones actualizadas de los sistemas afectados:

  • TIBCO JasperReports Server, versiones 8.0.2 y anteriores: versión 8.0.3 o posterior.
  • TIBCO JasperReports Server, versión 8.1.0: versión 8.1.1 o posterior.
  • TIBCO JasperReports Server – Community Edition versiones, 8.1.0 y anteriores: versión 8.1.1 o posterior
  • TIBCO JasperReports Server – Developer Edition versiones, 8.1.0 y anteriores: versión 8.1.1 o posterior.
  • TIBCO JasperReports Server para AWS Marketplace versiones, 8.0.2 y anteriores: versión 8.0.3 o posterior.
  • TIBCO JasperReports Server para AWS Marketplace versión, 8.1.0: versión 8.1.1 o posterior.
  • TIBCO JasperReports Server para Microsoft Azure versiones, 8.0.2 y anteriores: versión 8.0.3 o posterior.
  • TIBCO JasperReports Server para Microsoft Azure versión, 8.1.0: versión 8.1.1 o posterior.

Detalle:

Las 2 vulnerabilidades de severidad crítica, podrían permitir que un atacante con permisos de administrador y acceso a la red, ejecute de forma remota código para obtener un shell inverso en el sistema afectado y que este obtenga acceso completo; o que un atacante con pocos privilegios y acceso a la red, ejecute un Stored Cross Site Scripting y este explote recursos asociados que no sean del sistema afectado. Se han asignado los identificadores CVE-2022-41561 y CVE-2022-41563 para estas vulnerabilidades.

La explotación de la vulnerabilidad de severidad alta podría dar como resultado acceso no autorizado de lectura, actualización, inserción o eliminación a JasperReports Server y el bloqueo (DoS) del sistema afectado. Se ha asignado el identificador CVE-2022-41562 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
Actualización, Comunicaciones, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.