TIBCO JasperReports 漏洞被活跃利用

重点摘要

近期，两个影响 TIBCO 软件的基于 Java 的报告和数据分析平台 JasperReports的旧安全漏洞被恶意利用，这促使它们被列入网络安全和基础设施安全局（CISA）的。攻击者正在利用
CVE-2018-5430 和 CVE-2018-18809 漏洞进行攻击，并要求联邦机构在 1 月 19 日之前修复这些漏洞。

最近的报导指出，CVE-2018-5430 是一个自 2018 年 4 月修补的信息披露漏洞，攻击者利用它可以实现对任意文件的只读访问。TIBCO表示：「影响包括经过身份验证的用户可能以只读方式访问包含服务器使用的凭证的 Web 应用程序配置文件。这些凭证则可能被用于影响 JasperReportsServer 访问的外部系统。」

此外，CVE-2018-18809 是一个于 2019 年 3月修补的目录遍历漏洞，可能被滥用，使得网站服务器用户能访问敏感文件，最终可能导致凭证盗窃和进一步的系统渗透。

漏洞 | 描述 | 修补日期
—|—|—
CVE-2018-5430 | 信息披露漏洞，允许只读访问 | 2018年4月
CVE-2018-18809 | 目录遍历漏洞，可能导致敏感文件访问 | 2019年3月

虽然 CISA 对正在利用这些漏洞的攻击没有提供具体信息，但已要求联邦机构必须在 1 月 19 日之前修复这两个漏洞。