- CISA 已将两个漏洞添加到其已知被利用漏洞目录中,影响 TIBCO 的 JasperReports。
- 这些漏洞在多年前就已修复,黑客仍在未打补丁的系统上利用这些漏洞。
- 所有 FCEB 机构都必须在 2023 年 1 月 19 日之前修复已识别的漏洞。
美国网络安全和基础设施安全局在其已知被利用漏洞目录中添加了两个漏洞。尽管这些漏洞已在 2018 年和 2019 年得到解决,但 CISA 的决定表明它们正在被积极利用。这些漏洞正在影响 TIBCO Software 的JasperReports产品。
碧玉报告
这些漏洞被跟踪为CVE-2018-5430和CVE-2018-18809,CVSS 评分分别为 7.7 和 9.9。JasperReports 是一个基于 Java 的报告和数据分析平台,使用户能够创建、分发和管理报告和仪表板。
CVE-2018-5430 存在于 JasperReports Server 中,名为 JasperReports Server 信息泄露漏洞。该漏洞允许任何经过身份验证的用户以只读方式访问 Web 应用程序的内容,包括关键配置文件。第二个,跟踪为 CVE-2018-18809,位于 JasperReports 库中,名为 JasperReports 库目录遍历漏洞。它可能允许网络服务器用户访问主机系统的内容。
具有约束力的操作指令 (BOD) 22-01:降低已知被利用漏洞的重大风险 要求 FCEB 机构在 1 月 19 日之前修复已识别的漏洞。CISA 还敦促所有组织通过优先及时修复Catalog 漏洞 作为其漏洞管理实践的一部分来减少他们遭受网络攻击的 风险。
