BDU:2020-05431: Уязвимость компонента Report Generator приложений для создания отчетов TIBCO JasperReports Library, JasperReports Library for ActiveMatrix BPM, JasperReports Server, JasperReports Server for AWS Marketplace, JasperReports Server for ActiveMatrix BPM, позволяюшая нарушителю повысить свои привилегии
Детали уязвимости BDU:2020-05431
Описание
Уязвимость компонента Report Generator приложений для создания отчетов TIBCO JasperReports Library, JasperReports Library for ActiveMatrix BPM, JasperReports Server, JasperReports Server for AWS Marketplace, JasperReports Server for ActiveMatrix BPM связана с недостатками процедуры нейтрализации особых элементов в выходных данных, используемых входящим компонентом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии
Что делать с BDU:2020-05431
Высокая уязвимость (CVSS 8.0) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.
Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.
Оценка критичности (CVSS)
AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:HAV:N/AC:M/Au:S/C:C/I:C/A:CCWE — тип уязвимости
CVE — международный идентификатор
Тактики и техники
Уязвимое ПО (13)
| Вендор | Название | Версия | Платформа |
|---|---|---|---|
| Oracle Corp. | Oracle Retail Order Broker | 15.0 | Не указана |
| Oracle Corp. | Oracle Retail Order Broker | 16.0 | Не указана |
| TIBCO Software Inc. | JasperReports Library | до 7.1.1 включительно | Не указана |
| TIBCO Software Inc. | JasperReports Library | 7.2.0 | Не указана |
| TIBCO Software Inc. | JasperReports Library | 7.2.1 | Не указана |
| TIBCO Software Inc. | JasperReports Library | 7.3.0 | Не указана |
| TIBCO Software Inc. | JasperReports Library | 7.5.0 | Не указана |
| TIBCO Software Inc. | JasperReports Library for ActiveMatrix BPM | до 7.1.1 включительно | Не указана |
| TIBCO Software Inc. | JasperReports Server | до 7.1.1 включительно | Не указана |
| TIBCO Software Inc. | JasperReports Server | 7.2.0 | Не указана |
| TIBCO Software Inc. | JasperReports Server | 7.5.0 | Не указана |
| TIBCO Software Inc. | JasperReports Server for AWS Marketplace | до 7.5.0 включительно | Не указана |
| TIBCO Software Inc. | JasperReports Server for ActiveMatrix BPM | до 7.1.1 включительно | Не указана |
Рекомендации по устранению
Использование рекомендаций: http://www.tibco.com/services/support/advisories https://www.oracle.com/security-alerts/cpuoct2020.html
SLA ФСТЭК №117
7 дней
по базовой оценке CVSS 8.0
Уточните SLA под вашу среду
Базовый балл 8.0 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.
Пересчитать CVSS с учётом средыThreat Intelligence
SSVC: Отслеживать (повышенный)
Умеренный риск. Включите в плановый цикл обновлений, следите за изменением EPSS.
Вероятность эксплуатации в 30 дней (FIRST EPSS)
Информация
Обнаружена
2020-05-19
Опубликована
2020-11-26
Обновлена
2020-11-26
Эксплойт
Данные уточняются
Исправление
Уязвимость устранена
Статус
Подтверждена производителем
Управляйте уязвимостями, а не таблицами
Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.
- Уязвимости → активы → ответственные — цепочка за минуту
- SLA-таймеры и эскалация — дедлайны не горят
- PDF-отчёт для ФСТЭК — за один клик
Связанные уязвимости
Что добавляет КиберОснова к данным БДУ ФСТЭК
CVSS v4.0 + калькулятор
Единственный бесплатный калькулятор CVSS v4.0 на русском языке
SLA по приказу №117
Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн
EPSS + CISA KEV
Оценка вероятности эксплуатации и статус активных атак
Полнотекстовый поиск
По названию, CVE, CWE, описанию — русский и английский
Связанные уязвимости
Автоматический подбор по затронутому ПО
Мобильная версия
Адаптивный интерфейс для работы с телефона и планшета
Автоматизируйте управление уязвимостями
КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.