La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en inglés) agregó fallas de seguridad de hace dos años que afectaron el producto JasperReports de TIBCO Software a su catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ), citando evidencia de explotación activa.
Las fallas, registradas como CVE-2018-5430 (puntuación CVSS: 7,7) y CVE-2018-18809 (puntuación CVSS: 9,9), fueron abordadas por TIBCO en abril de 2018 y marzo de 2019, respectivamente.
TIBCO JasperReports es una plataforma de análisis de datos y generación de informes basada en Java para crear, distribuir y administrar informes y paneles.
El primero de los dos problemas, CVE-2018-5430, se relaciona con un error de divulgación de información en el componente del servidor que podría permitir que un usuario autenticado obtenga acceso de solo lectura a archivos arbitrarios, incluidas configuraciones clave.
«El impacto incluye el posible acceso de solo lectura por parte de usuarios autenticados a los archivos de configuración de la aplicación web que contienen las credenciales utilizadas por el servidor», señaló TIBCO en ese momento. «Esas credenciales podrían usarse para afectar los sistemas externos a los que accede el servidor JasperReports».
CVE-2018-18809, por otro lado, es una vulnerabilidad de cruce de directorios en la biblioteca JasperReports que podría permitir a los usuarios del servidor web acceder a archivos confidenciales en el host, lo que podría hacer posible que un atacante robe credenciales e irrumpa en otros sistemas.
CISA no reveló ningún detalle adicional sobre cómo las vulnerabilidades se utilizan como armas en los ataques del mundo real. Las agencias federales en los EE. UU. deben parchear sus sistemas antes del 19 de enero de 2023.
Fuente y redacción: thehackernews.com
