TIBCO社からSecurity Advisoryがリリースされました。
本記事は日本国内で該当製品をご利用中のお客様に向けてご案内することを目的としております。
詳細については出典URLに記載のTIBCO社から公表されている記事をご確認ください。
TIBCO JasperReports Server Reflected Cross Site Scripting (XSS) vulnerability
対象製品:TIBCO JasperReports Server
リリース日:2022年5月17日
CVE識別番号:CVE-2022-22773
CVSS v3 基本値:7.7 (CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N)
出典URL:https://www.tibco.com/support/advisories/2022/05/tibco-security-advisory-may-17-2022-tibco-jasperreports-server-cve-2022-22773
影響を受けるソフトウェアとバージョン
- TIBCO JasperReports Serverのバージョン8.0.1 もしくはそれ以前のバージョン
- TIBCO JasperReports Server - Community Editionのバージョン8.0.1 もしくはそれ以前のバージョン
- TIBCO JasperReports Server - Developer Editionのバージョン8.0.0 もしくはそれ以前のバージョン
- TIBCO JasperReports Server for ActiveMatrix BPMのバージョン7.9.2 もしくはそれ以前のバージョン
- TIBCO JasperReports Server for Microsoft Azureのバージョン8.0.1 もしくはそれ以前のバージョン
次のコンポーネントが影響を受けます。
- REST API
説明
上記のコンポーネントには、Reflected Cross Site Scripting (XSS)という脆弱性が含まれています。
ネットワークにアクセスできる低権限の攻撃者が、影響を受けるシステムまたは被害者のローカルシステムを標的としたスクリプトを実行する可能性があります。
影響
被害者が管理者権限を持つ管理者である場合、攻撃者が影響を受けるシステムに対する完全な管理者権限を得てしまう可能性があります。
解決策
TIBCO 社より、この問題に対処するために新たなバージョンがリリースされています。
旧バージョン | 新バージョン |
---|---|
TIBCO JasperReports Server 8.0.1 もしくはそれ以前 | TIBCO JasperReports Server 8.0.2 もしくはそれ以降 |
TIBCO JasperReports Server - Community Edition 8.0.1 もしくはそれ以前 | TIBCO JasperReports Server - Community Edition 8.0.2 もしくはそれ以降 |
TIBCO JasperReports Server - Developer Edition 8.0.0 もしくはそれ以前 |
TIBCO JasperReports Server - Developer Edition 8.0.2 もしくはそれ以降 |
TIBCO JasperReports Server for ActiveMatrix BPM 7.9.2 もしくはそれ以前 |
この製品は非推奨のため、アンインストールしてください。 |
TIBCO JasperReports Server for Microsoft Azure 8.0.1 もしくはそれ以前 |
TIBCO JasperReports Server for Microsoft Azure 8.0.2 もしくはそれ以降 |
アップグレードが不可能な場合、Content Type ヘッダを制限することにより、HTML および XML フォーマットの REST API レスポンスをブラウザで表示できないようにすることができます。
Content Type ヘッダの制限方法は、下記を参照してください。
https://support.tibco.com/s/article/Security-Advisory-Regarding-TIBCO-JasperReports-Configuration-Change