JasperReports

Die Schwachstelle steckt in den Spring-basierten Web-Abläufen (Web Flows) des Berichtsservers JasperReports von TIBCO. Über einen Fehler in dieser Komponente kann ein Angreifer, der bereits über ein gültiges Benutzerkonto verfügt, lesend auf Inhalte der Web-Anwendung zugreifen, die ihm eigentlich verborgen bleiben sollten. Dazu zählen insbesondere zentrale Konfigurationsdateien des Servers. Für den Angriff genügt eine ganz gewöhnliche Anmeldung – besondere Rechte oder eine administrative Rolle sind nicht erforderlich, jeder authentifizierte Nutzer kann den Zugriff auslösen. Der Zugriff bleibt zwar auf das Lesen beschränkt, doch die offengelegten Konfigurationsdateien können sensible Angaben enthalten, etwa zu internen Einstellungen oder Zugangsdaten, die einen weiterführenden Angriff vorbereiten. Betroffen sind mehrere Ausprägungen des Produkts, darunter die reguläre Server-Variante, die Community-Edition, die Integration für ActiveMatrix BPM sowie die Jaspersoft-Angebote für AWS.