Vulnerabilidad crítica en servidor FTP en JasperReports Server de TIBCO

ANÁLISIS 

La vulnerabilidad, identificada como CVE-2021-35495 y fácilmente explotable, podría permitir a un atacante autenticado con acceso a la red obtener las contraseñas del servidor FTP de otros usuarios del sistema afectado. La ejecución exitosa de la misma, permitirá al atacante obtener acceso al servidor FTP de la víctima con su nivel de privilegio. Dicha vulnerabilidad cuenta con una puntuación CVSS3.0 crítica de 9.0 [2].  

A continuación, se indican los recursos afectados por esta vulnerabilidad [3]: 

- JasperReports Server: 

versiones entre 7.2.1 y anteriores; 
versiones 7.5.0 y 7.5.1; 
versión 7.8.0; 
versión 7.9.0; 
Community Edition, versiones 7.8.0 y anteriores; 
Developer Edition, versiones 7.9.0 y anteriores; 
para AWS Marketplace, versiones 7.9.0 y anteriores; 
para ActiveMatrix BPM, versiones 7.9.0;
para Microsoft Azure, versión 7.8.0; 

- El componente Scheduler Connection

RECOMENDACIONES

Se recomienda llevar a cabo las actualizaciones de los sistemas afectados,  indicadas por TIBCO [4].  

REFERENCIAS 

[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-35495
[2] https://nvd.nist.gov/vuln/detail/CVE-2021-35495
[3] https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-acceso-servidor-ftp-jasperreports-server-tibco
[4] https://www.tibco.com/support/advisories/2021/10/tibco-security-advisory-october-12-2021-tibco-jasperreports-server-2021-35495