Cloud Software GroupからSecurity Advisoryがリリースされました。
本記事は日本国内で該当製品をご利用中のお客様に向けてご案内することを目的としております。
詳細については出典URLに記載のCloud Software Groupから公表されている記事をご確認ください。
JasperReports Serverにおけるディレクトリトラバーサル脆弱性について
対象製品:JasperReports Server
リリース日:2024年12月10日
CVE識別番号:CVE-2024-10271
CVSS V4.0 基本値:9.3 (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:L/SC:H/SI:H/SA:H)
出典URL:https://community.jaspersoft.com/advisories/jaspersoft-security-advisory-december-10-2024-jasperreports-server-cve-2024-10271-r5/
影響を受ける製品
- JasperReports Server バージョン 8.0.4 以下
- JasperReports Server バージョン 8.1.2 以下
- JasperReports Server バージョン 8.2.0
- JasperReports Server バージョン 9.0.0
次のコンポーネントが影響を受けます。
- URL処理
内容
上記のコンポーネントには、ディレクトリトラバーサルという脆弱性が含まれています。
攻撃者が特別に細工したURLを送信することで、認証されていない状態でサーバー内の機密情報(設定ファイルや認証情報)にアクセスできる可能性があります。この攻撃により、意図しないファイルが表示される危険があります。
影響
この脆弱性により、機密ファイルへの不正アクセスが発生する可能性があります。漏洩したデータには、他のシステムにアクセスするための認証情報が含まれる可能性があります。
解決策
Cloud Software Groupより、この問題に対処するために新たなバージョンがリリースされています。
旧バージョン | 新バージョン |
---|---|
JasperReports Server 8.0.4 およびそれ以下 |
最新の 8.0.4 ホットフィックス |
JasperReports Server 8.1.2 およびそれ以下 |
JasperReports Server 9.0.0にアップグレードし、最新の 9.0.0 ホットフィックスを適用 |
JasperReports Server 8.2.0 |
JasperReports Server 9.0.0にアップグレードし、最新の 9.0.0 ホットフィックスを適用 |
JasperReports Server 9.0.0 | 最新の 9.0.0 ホットフィックス |