{ "document" : { "aggregate_severity" : { "text" : "hoch" }, "category" : "csaf_base", "csaf_version" : "2.0", "distribution" : { "tlp" : { "label" : "WHITE", "url" : "https://www.first.org/tlp/" } }, "lang" : "de-DE", "notes" : [ { "category" : "legal_disclaimer", "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen." }, { "category" : "description", "text" : "JasperReports ist ein Berichtswerkzeug, mit dem man aus Java-Programmen Berichte in verschiedene Formate exportieren, auf dem Bildschirm anzeigen oder drucken kann.", "title" : "Produktbeschreibung" }, { "category" : "summary", "text" : "Ein entfernter, authentifizierter Angreifer kann mehrere Schwachstellen in TIBCO JasperReports ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren oder Cross-Site Scripting (XSS)-Angriffe durchzuführen.", "title" : "Angriff" }, { "category" : "general", "text" : "- MacOS X", "title" : "Betroffene Betriebssysteme" } ], "publisher" : { "category" : "other", "contact_details" : "csaf-provider@cert-bund.de", "name" : "Bundesamt für Sicherheit in der Informationstechnik", "namespace" : "https://www.bsi.bund.de" }, "references" : [ { "category" : "self", "summary" : "WID-SEC-W-2024-0836 - CSAF Version", "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0836.json" }, { "category" : "self", "summary" : "WID-SEC-2024-0836 - Portal Version", "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0836" }, { "category" : "external", "summary" : "TIBCO Security Advisory vom 2024-04-09", "url" : "https://community.tibco.com/advisories/tibco-security-advisory-april-9-2024-tibco-jasperreports-server-cve-2024-3323-r209/" }, { "category" : "external", "summary" : "TIBCO Security Advisory vom 2024-04-09", "url" : "https://community.tibco.com/advisories/tibco-security-advisory-april-9-2024-tibco-jasperreports-server-cve-2024-3324-r210/" }, { "category" : "external", "summary" : "TIBCO Security Advisory vom 2024-04-09", "url" : "https://community.tibco.com/advisories/tibco-security-advisory-april-9-2024-tibco-jasperreports-server-cve-2024-3326-r211/" }, { "category" : "external", "summary" : "TIBCO Security Advisory vom 2024-04-09", "url" : "https://community.tibco.com/advisories/tibco-security-advisory-april-9-2024-tibco-jasperreports-server-cve-2024-3327-r212/" } ], "source_lang" : "en-US", "title" : "TIBCO JasperReports: Mehrere Schwachstellen", "tracking" : { "current_release_date" : "2024-11-28T23:00:00.000+00:00", "generator" : { "date" : "2024-11-29T12:09:02.528+00:00", "engine" : { "name" : "BSI-WID", "version" : "1.3.8" } }, "id" : "WID-SEC-W-2024-0836", "initial_release_date" : "2024-04-09T22:00:00.000+00:00", "revision_history" : [ { "date" : "2024-04-09T22:00:00.000+00:00", "number" : "1", "summary" : "Initiale Fassung" }, { "date" : "2024-11-28T23:00:00.000+00:00", "number" : "2", "summary" : "Prüfung Produkteintragung" } ], "status" : "final", "version" : "2" } }, "product_tree" : { "branches" : [ { "branches" : [ { "branches" : [ { "category" : "product_version_range", "name" : "server <8.0.4 with latest hotfix", "product" : { "name" : "TIBCO JasperReports server <8.0.4 with latest hotfix", "product_id" : "T034019" } }, { "category" : "product_version", "name" : "server 8.0.4 with latest hotfix", "product" : { "name" : "TIBCO JasperReports server 8.0.4 with latest hotfix", "product_id" : "T034019-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:tibco:jasperreports_server:server__8.0.4_with_latest_hotfix" } } }, { "category" : "product_version_range", "name" : "server <9.0.0 with latest hotfix", "product" : { "name" : "TIBCO JasperReports server <9.0.0 with latest hotfix", "product_id" : "T034020" } }, { "category" : "product_version", "name" : "server 9.0.0 with latest hotfix", "product" : { "name" : "TIBCO JasperReports server 9.0.0 with latest hotfix", "product_id" : "T034020-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:tibco:jasperreports_server:server__9.0.0_with_latest_hotfix" } } } ], "category" : "product_name", "name" : "JasperReports" } ], "category" : "vendor", "name" : "TIBCO" } ] }, "vulnerabilities" : [ { "cve" : "CVE-2024-3323", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen in TIBCO JasperReports. Diese Fehler bestehen in der UI Request/Response Validation, dem rollenbasierten Multi-Tenancy-Zugriff, der JDBC URL Validation und in den Query Executions Features aufgrund von unsicheren direkten Objektreferenzen und SQL Injection. Ein entfernter, privilegierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren oder Cross-Site Scripting (XSS)-Angriffe durchzuführen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden." } ], "product_status" : { "known_affected" : [ "T034019", "T034020" ] }, "release_date" : "2024-04-09T22:00:00.000+00:00", "title" : "CVE-2024-3323" }, { "cve" : "CVE-2024-3324", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen in TIBCO JasperReports. Diese Fehler bestehen in der UI Request/Response Validation, dem rollenbasierten Multi-Tenancy-Zugriff, der JDBC URL Validation und in den Query Executions Features aufgrund von unsicheren direkten Objektreferenzen und SQL Injection. Ein entfernter, privilegierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren oder Cross-Site Scripting (XSS)-Angriffe durchzuführen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden." } ], "product_status" : { "known_affected" : [ "T034019", "T034020" ] }, "release_date" : "2024-04-09T22:00:00.000+00:00", "title" : "CVE-2024-3324" }, { "cve" : "CVE-2024-3326", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen in TIBCO JasperReports. Diese Fehler bestehen in der UI Request/Response Validation, dem rollenbasierten Multi-Tenancy-Zugriff, der JDBC URL Validation und in den Query Executions Features aufgrund von unsicheren direkten Objektreferenzen und SQL Injection. Ein entfernter, privilegierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren oder Cross-Site Scripting (XSS)-Angriffe durchzuführen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden." } ], "product_status" : { "known_affected" : [ "T034019", "T034020" ] }, "release_date" : "2024-04-09T22:00:00.000+00:00", "title" : "CVE-2024-3326" }, { "cve" : "CVE-2024-3327", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen in TIBCO JasperReports. Diese Fehler bestehen in der UI Request/Response Validation, dem rollenbasierten Multi-Tenancy-Zugriff, der JDBC URL Validation und in den Query Executions Features aufgrund von unsicheren direkten Objektreferenzen und SQL Injection. Ein entfernter, privilegierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren oder Cross-Site Scripting (XSS)-Angriffe durchzuführen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden." } ], "product_status" : { "known_affected" : [ "T034019", "T034020" ] }, "release_date" : "2024-04-09T22:00:00.000+00:00", "title" : "CVE-2024-3327" } ] }