CISA:JasperReports 漏洞正在被积极利用 媒体
TIBCO JasperReports 漏洞被活跃利用
重点摘要
近期,两个影响 TIBCO 软件的基于 Java 的报告和数据分析平台 JasperReports 的旧安全漏洞被恶意利用,这促使它们被列入网络安全和基础设施安全局CISA的已知被利用漏洞纪录。攻击者正在利用 CVE20185430 和 CVE201818809 漏洞进行攻击,并要求联邦机构在 1 月 19 日之前修复这些漏洞。
最近的报导指出,CVE20185430 是一个自 2018 年 4 月修补的信息披露漏洞,攻击者利用它可以实现对任意文件的只读访问。TIBCO 表示:影响包括经过身份验证的用户可能以只读方式访问包含服务器使用的凭证的 Web 应用程序配置文件。这些凭证则可能被用于影响 JasperReports Server 访问的外部系统。
此外,CVE201818809 是一个于 2019 年 3 月修补的目录遍历漏洞,可能被滥用,使得网站服务器用户能访问敏感文件,最终可能导致凭证盗窃和进一步的系统渗透。
漏洞描述修补日期CVE20185430信息披露漏洞,允许只读访问2018年4月CVE201818809目录遍历漏洞,可能导致敏感文件访问2019年3月虽然 CISA 对正在利用这些漏洞的攻击没有提供具体信息,但已要求联邦机构必须在 1 月 19 日之前修复这两个漏洞。
飞跃加速器官网下载
俄方支持的APT29黑客组织展开新一轮凭证窃取攻击关键要点APT29又名午夜暴风雪、舒适熊、诺贝利姆针对多个政府及非政府组织展开凭证窃取攻击。此次攻击特别涉及国防机构、关键制造业和IT服务提供商。微软...
GE Proficy Historian 软件漏洞警报关键要点GE Proficy Historian 软件存在五个严重漏洞,可能被威胁行为者利用进行间谍活动和干扰工业控制系统。主要漏洞包括身份认证绕...