Vulnerabilidad de acceso a servidor FTP en JasperReports Server de TIBCO

Fecha de publicación: 13/10/2021

Importancia:
Crítica

Recursos afectados:

• JasperReports Server:
  • versiones 7.2.1 y anteriores;
  • versiones 7.5.0 y 7.5.1;
  • versión 7.8.0;
  • versión 7.9.0;
  • Community Edition, versiones 7.8.0 y anteriores;
  • Developer Edition, versiones 7.9.0 y anteriores;
  • para AWS Marketplace, versiones 7.9.0 y anteriores;
  • para ActiveMatrix BPM, versiones 7.9.0 y anteriores;
  • para Microsoft Azure, versión 7.8.0.
• El componente Scheduler Connection.

Descripción:

La ejecución exitosa de esta vulnerabilidad podría permitir a atacante obtener acceso al servidor FTP de la víctima con su nivel de privilegio.

Solución:

• En versiones 7.2.1 e inferiores, actualizar a la versión 7.2.2 o posterior;
• en versiones 7.5.0 y 7.5.1. actualizar a la versión 7.5.2 o posterior;
• en versión 7.8.0. actualizar a la versión 7.8.1 o posterior;
• en versión 7.9.0. actualizar a la versión 7.9.1 o posterior;
• en Community Edition versiones 7.8.0 e inferiores, actualizar a la versión 7.8.1 o posterior;
• en Developer Edition versiones 7.9.0 e inferiores, actualizar a la versión 7.9.1 o posterior;
• en AWS Marketplace versiones 7.9.0 e inferiores, actualizar a la versión 7.9.1 o posterior;
• en ActiveMatrix BPM versiones 7.9.0 e inferiores, actualizar a la versión 7.9.1 o posterior;
• en Microsoft Azure versión 7.8.0, actualizar a la versión 7.9.1 o posterior.

Detalle:

El componente Scheduler Connection contiene una vulnerabilidad fácilmente explotable que podría permitir a un atacante autenticado con acceso a la red obtener las contraseñas del servidor FTP de otros usuarios del sistema afectado. Se ha asignado el identificador CVE-2021-35495 para esta vulnerabilidad.

Etiquetas:
Actualización, Vulnerabilidad