Duas falhas de segurança que afetam produtos Jasper Reports da TIBCO Software há dois anos foram adicionadas ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), da Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA).
Estas falhas foram corrigidas pela TIBCO, plataforma de análise de dados e relatórios baseada em Java para criar, distribuir e gerenciar relatórios e painéis, segundo o The Hackers New.
Um dos problemas está relacionado a um bug na divulgação de informações, no componente do servidor que pode permitir que um usuário autenticado obtenha acesso somente à leitura de arquivos arbitrários, incluindo configurações de chave.
“O impacto inclui o possível acesso somente à leitura de usuários autenticados a arquivos de configuração de aplicativos da Web que contém as credenciais usadas pelo servidor”, observou a TIBCO na época. “Essas credenciais podem ser usadas para afetar sistemas externos acessados pelo JasperReports Server”.
Já a outra falha está relacionada a uma passagem de diretório na Biblioteca JasperReports que pode permitir que os usuários do servidor da Web acessem arquivos confidenciais no host, potencialmente possibilitando que um invasor roube credenciais e invada outros sistemas.
Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!
Fonte: Olhar Digital
Comentários