Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en los permisos de "superuser" en el componente de la Interfaz de Usuario administrativa de TIBCO JasperReports Server, TIBCO JasperReports Server para AWS Marketplace, y TIBCO JasperReports Server para ActiveMatrix BPM de TIBCO Software Inc (CVE-2020-9409)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/05/2020
Última modificación:
07/11/2023

Descripción

El componente de la Interfaz de Usuario administrativa de TIBCO JasperReports Server, TIBCO JasperReports Server para AWS Marketplace, y TIBCO JasperReports Server para ActiveMatrix BPM, de TIBCO Software Inc, contiene una vulnerabilidad que teóricamente permite a un atacante no autenticado conseguir los permisos de un "superuser" de JasperReports Server para los sistemas afectados. El atacante puede, teóricamente explotar la vulnerabilidad consistentemente, remotamente y sin autenticación. Las versiones afectadas son TIBCO JasperReports Server de TIBCO Software Inc: versiones 7.1.1 y por debajo, TIBCO JasperReports Server para AWS Marketplace: versiones 7.1.1 y por debajo, y TIBCO JasperReports Server para ActiveMatrix BPM: versiones 7.1.1 y por debajo.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:tibco:jasperreports_server:*:*:*:*:*:-:*:* 7.1.1 (incluyendo)
cpe:2.3:a:tibco:jasperreports_server:*:*:*:*:*:activematrix_bpm:*:* 7.1.1 (incluyendo)
cpe:2.3:a:tibco:jasperreports_server:*:*:*:*:*:aws_marketplace:*:* 7.1.1 (incluyendo)
cpe:2.3:a:oracle:retail_order_broker:15.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:retail_order_broker:16.0:*:*:*:*:*:*:*