ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), aktif istismara ilişkin kanıtlara atıfta bulunarak, TIBCO Software’in JasperReports ürününü etkileyen iki yıllık güvenlik açıklarını Bilinen Yararlanılan Güvenlik Açıkları (KEV) kataloğuna ekledi.
CVE-2018-5430 (CVSS puanı: 7,7) ve CVE-2018-18809 (CVSS puanı: 9,9) olarak izlenen kusurlar, sırasıyla Nisan 2018 ve Mart 2019’da TIBCO tarafından ele alındı.
TIBCO JasperReports, raporlar ve panolar oluşturmak, dağıtmak ve yönetmek için Java tabanlı bir raporlama ve veri analizi platformudur.
İki sorundan ilki olan CVE-2018-5430, kimliği doğrulanmış bir kullanıcının anahtar yapılandırmalar da dahil olmak üzere rasgele dosyalara salt okunur erişim elde etmesini sağlayabilen, sunucu bileşenindeki bir bilgi ifşa hatasıyla ilgilidir.
TIBCO o sırada “Etki, kimliği doğrulanmış kullanıcıların sunucu tarafından kullanılan kimlik bilgilerini içeren web uygulaması yapılandırma dosyalarına olası salt okunur erişimini içerir.” “Bu kimlik bilgileri daha sonra JasperReports Sunucusu tarafından erişilen harici sistemleri etkilemek için kullanılabilir.”
Öte yandan CVE-2018-18809, JasperReports Kitaplığı’nda web sunucusu kullanıcılarının ana bilgisayardaki hassas dosyalara erişmesine izin vererek potansiyel olarak bir saldırganın kimlik bilgilerini çalmasına ve diğer sistemlere girmesine olanak tanıyan bir dizin geçişi güvenlik açığıdır.
CISA, güvenlik açıklarının gerçek dünya saldırılarında nasıl silah haline getirildiğine dair herhangi bir ek ayrıntı açıklamadı. ABD’deki federal kurumların 19 Ocak 2023’e kadar sistemlerini yamalaması gerekiyor.