Recursos afectados: 

• TIBCO JasperReports Server, versiones 6.4.0, 6.4.1, 6.4.2, y 6.4.3
• TIBCO JasperReports Server, versión 7.1.0
• TIBCO JasperReports Server Community Edition, versiones 7.1.0 y anteriores
• TIBCO JasperReports Server para ActiveMatrix BPM, versiones 6.4.3 y anteriores
• TIBCO Jaspersoft para AWS with Multi-Tenancy, versiones 7.1.0 y anteriores
• TIBCO Jaspersoft Reporting y Analytics para AWS, versiones 7.1.0 y anteriores

Descripción: 

TIBCO ha publicado una vulnerabilidad descubierta por Steven Seeley (mr_me), de Source Incite trabajando con Trend Micro Zero Day Initiative, que podría permitir a un atacante no autenticado eludir las verificaciones de autorización de partes de la interfaz HTTP de JasperReports Server.Solución: 

• Para TIBCO JasperReports Server, versiones 6.4.0, 6.4.1, 6.4.2, y 6.4.3: actualizar a la versión 6.4.4 o superior.
• Para TIBCO JasperReports Server, versión 7.1.0: actualizar a la versión 7.1.1 o superior.
• Para TIBCO JasperReports Server Community Edition, versiones 7.1.0 y anteriores: actualizar a la versión 7.1.1 o superior.
• Para TIBCO JasperReports Server para ActiveMatrix BPM, versiones 6.4.3 y anteriores: actualizar a la versión 6.4.4 o superior.
• Para TIBCO Jaspersoft para AWS with Multi-Tenancy, versiones 7.1.0 y anteriores: actualizar a la versión 7.1.1 o superior.
• Para TIBCO Jaspersoft Reporting y Analytics para AWS, versiones 7.1.0 y anteriores: actualizar a la versión 7.1.1 o superior.

Detalle: 

• Esta vulnerabilidad, para la que se ha reservado el identificador CVE-2018-18815, podría permitir a un atacante el acceso de lectura no autenticado a los contenidos del sistema host, cuando se combina con la vulnerabilidad identificada por el CVE-2018-18809.