多款TIBCO Software产品注入漏洞

CNNVD-ID编号 CNNVD-202005-1083
CVE编号 CVE-2020-9410
发布时间 2020-05-20
更新时间 2020-10-21
漏洞类型 注入
漏洞来源 N/A
危险等级 高危
威胁类型 远程
厂 商 N/A

漏洞介绍

TIBCO Software JasperReports Library和TIBCO Software JasperReports Server都是美国TIBCO Software公司的产品。TIBCO Software JasperReports Library是一款使用Java语言编写的来源报表引擎。TIBCO Software JasperReports Server是一款可嵌入的报告服务器,它提供可以嵌入到Web或移动设备中的报告和分析功能。

多款TIBCO产品中的报告生成器组件存在安全漏洞。攻击者可借助恶意的报告利用该漏洞获取用户权限,完全控制显示生成报告的Web界面。以下产品及版本受到影响:TIBCO JasperReports Library 7.1.1及之前版本,7.2.0版本,7.2.1版本,7.3.0版本,7.5.0版本;TIBCO JasperReports Library for ActiveMatrix BPM 7.1.1及之前版本;TIBCO JasperReports Server 7.1.1及之前版本,7.2.0版本,7.5.0版本;TIBCO JasperReports Server for AWS Marketplace 7.5.0及之前版本;TIBCO JasperReports Server for ActiveMatrix BPM 7.1.1及之前版本。

漏洞补丁

目前厂商已发布升级了多款TIBCO Software产品注入漏洞的补丁,多款TIBCO Software产品注入漏洞的补丁获取链接:

参考网址

受影响实体

  • 暂无

信息来源