TIBCO社からSecurity Advisoryがリリースされました。
本記事は日本国内で該当製品をご利用中のお客様に向けてご案内することを目的としております。
詳細については出典URLに記載のTIBCO社から公表されている記事をご確認ください。
TIBCO JasperReports Library Directory Traversal Vulnerability
対象製品:TIBCO JasperReports, TIBCO JasperReports Server
リリース日:2022年03月15日
CVE識別番号:CVE-2022-22771
CVSS v3 基本値:9.9 (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)
出典URL:https://www.tibco.com/support/advisories/2022/03/tibco-security-advisory-march-15-2022-tibco-jasperreports-library-2022-22771
影響を受けるソフトウェアとバージョン
- TIBCO JasperReports Libraryのバージョン7.9.0
- TIBCO JasperReports Library for ActiveMatrix BPM のバージョン7.9.0
- TIBCO JasperReports Serverのバージョン7.9.0 , 7.9.1
- TIBCO JasperReports Server for ActiveMatrix BPMのバージョン7.9.0 , 7.9.1
- TIBCO JasperReports Server for Microsoft Azureのバージョン7.9.1
次のコンポーネントが影響を受けます。
- Server
説明
上記のコンポーネントには、ディレクトリトラバーサルの脆弱性が含まれています。
この脆弱性を悪用し、ウェブサーバーのユーザがホストシステムのコンテンツにアクセスする可能性があります。
影響
この脆弱性により、提供されたDefaultWebResourceHandlerを使用するウェブサーバのホストシステム詳細情報が公開される可能性があります。
公開されるデータには、他のシステムにアクセスするための認証情報が含まれる可能性があります
解決策
TIBCO 社より、この問題に対処するために新たなバージョンがリリースされています。
旧バージョン | 新バージョン |
---|---|
TIBCO JasperReports Library 7.9.0 | TIBCO JasperReports Library 7.9.2 もしくはそれ以降 |
TIBCO JasperReports Library for ActiveMatrix BPM 7.9.0 | TIBCO JasperReports Library for ActiveMatrix BPM 7.9.2 もしくはそれ以降 |
TIBCO JasperReports Server 7.9.0, 7.9.1 |
TIBCO JasperReports Server 7.9.2 |
TIBCO JasperReports Server for ActiveMatrix BPM 7.9.0, 7.9.1 |
TIBCO JasperReports Server for ActiveMatrix BPM 7.9.2 |
TIBCO JasperReports Server for Microsoft Azure 7.9.1 |
TIBCO JasperReports Server for Microsoft Azure 7.9.2 |