Vulnerabilidad en JasperReports (CVE-2017-5529)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
29/06/2017
Última modificación:
20/04/2025
Descripción
Los componentes de la biblioteca JasperReports contienen una vulnerabilidad de divulgación de información. Esta vulnerabilidad incluye la divulgación, en teoría, de cualquier información accesible desde el sistema de archivos del host. Afecta a TIBCO JasperReports Library Community Edition (versiones 6.4.0 y anteriores), TIBCO JasperReports Library for ActiveMatrix BPM (versiones 6.2.0 y anteriores), TIBCO JasperReports Professional (versiones 6.2.1 y anteriores y la versión 6.3.0), TIBCO JasperReports Server (versiones 6.1.1 y anteriores, 6.2.0, 6.2.1 y 6.3.0), TIBCO JasperReports Server Community Edition (versiones 6.3.0 y anteriores), TIBCO JasperReports Server for ActiveMatrix BPM (versiones 6.2.0 y anteriores), TIBCO Jaspersoft for AWS with Multi-Tenancy (versiones 6.3.0 y anteriores), TIBCO Jaspersoft Reporting and Analytics for AWS (versiones 6.3.0 y anteriores) y TIBCO Jaspersoft Studio for ActiveMatrix BPM (versiones 6.2.0 y anteriores).
Impacto
Puntuación base 3.x
4.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:tibco:jasperreports_library_community_edition:*:*:*:*:*:*:*:* | 6.4.0 (incluyendo) | |
| cpe:2.3:a:tibco:jasperreports_library_for_activematrix_bpm:*:*:*:*:*:*:*:* | 6.2.0 (incluyendo) | |
| cpe:2.3:a:tibco:jasperreports_professional:*:*:*:*:*:*:*:* | 6.2.1 (incluyendo) | |
| cpe:2.3:a:tibco:jasperreports_professional:6.3.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tibco:jasperreports_server:*:*:*:*:*:*:*:* | 6.1.1 (incluyendo) | |
| cpe:2.3:a:tibco:jasperreports_server:6.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tibco:jasperreports_server:6.2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tibco:jasperreports_server:6.3.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tibco:jasperreports_server_community_edition:*:*:*:*:*:*:*:* | 6.3.0 (incluyendo) | |
| cpe:2.3:a:tibco:jasperreports_server_for_activematrix_bpm:*:*:*:*:*:*:*:* | 6.2.0 (incluyendo) | |
| cpe:2.3:a:tibco:jaspersoft_for_aws_with_multi-tenancy:*:*:*:*:*:*:*:* | 6.3.0 (incluyendo) | |
| cpe:2.3:a:tibco:jaspersoft_reporting_and_analytics_for_aws:*:*:*:*:*:*:*:* | 6.3.0 (incluyendo) | |
| cpe:2.3:a:tibco:jaspersoft_studio_for_activematrix_bpm:*:*:*:*:*:*:*:* | 6.2.0 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
- http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
- https://www.oracle.com/security-alerts/cpuapr2020.html
- https://www.tibco.com/support/advisories/2017/06/tibco-security-advisory-june-28-2017-tibco-jasperreports-server-2017-0
- http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
- http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
- https://www.oracle.com/security-alerts/cpuapr2020.html
- https://www.tibco.com/support/advisories/2017/06/tibco-security-advisory-june-28-2017-tibco-jasperreports-server-2017-0