TIBCO社からSecurity Advisoryがリリースされました。
本記事は日本国内で該当製品をご利用中のお客様に向けてご案内することを目的としております。
詳細については出典URLに記載のTIBCO社から公表されている記事をご確認ください。
TIBCO JasperReports ServerのロールにおけるXSSの問題について
対象製品:TIBCO JasperReports Server
リリース日:2022年12月13日
CVE識別番号:CVE-2022-41562
CVSS v3 基本値:8.4 (CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H)
出典URL:https://www.tibco.com/support/advisories/2022/12/tibco-security-advisory-december-13-2022-tibco-jasperreports-server-cve-2022-41562
影響を受ける製品
- TIBCO JasperReports Server 8.0.2、もしくはそれ以前のバージョン
- TIBCO JasperReports Server 8.1.0
- TIBCO JasperReports Server - Community Edition 8.1.0、もしくはそれ以前のバージョン
- TIBCO JasperReports Server - Developer Edition 8.1.0、もしくはそれ以前のバージョン
次のコンポーネントが影響を受けます。
- HTML escaping
内容
上記のコンポーネントには、ネットワークにアクセス可能な特権または管理者権限を持つ攻撃者が、影響を受けるシステム上でXSS攻撃を実行できる、容易に悪用可能な脆弱性が存在します。この脆弱性を利用した攻撃を成功させるには、攻撃者以外の人による操作が必要です。
影響
この脆弱性の実行に成功すると、JasperReports Server への不正な読み取り、更新、挿入、削除、アクセスが発生し、影響を受けるシステムのハングアップまたは頻繁に繰り返されるクラッシュ(完全なDOS)が発生する可能性があります。この脆弱性により、攻撃者は、影響を受けるシステム以外の関連リソースを悪用することができます。
解決策
TIBCO 社より、この問題に対処するために新たなバージョンがリリースされています。
旧バージョン | 新バージョン |
---|---|
TIBCO JasperReports Server 8.0.2、もしくはそれ以前 |
TIBCO JasperReports Server 8.0.3、もしくはそれ以降 |
TIBCO JasperReports Server 8.1.0 |
TIBCO JasperReports Server 8.1.1、もしくはそれ以降 |
TIBCO JasperReports Server - Community Edition 8.1.0、もしくはそれ以前 |
TIBCO JasperReports Server - Community Edition 8.1.1、もしくはそれ以降 |
TIBCO JasperReports Server - Developer Edition 8.1.0、もしくはそれ以前 |
TIBCO JasperReports Server - Developer Edition 8.1.1、もしくはそれ以降 |