Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwt organisaties voor twee actief aangevallen kwetsbaarheden in JasperReports, rapportagesoftware van leverancier Tibco. Volgens Tibco is de JasperReports-library de meestgebruikte "open source reporting engine" die data van allerlei bronnen tot documenten verwerkt.

De library wordt binnen allerlei toepassingen gebruikt, waaronder verschillende Jaspersoft-producten. Een path traversal-kwetsbaarheid in de library maakt het mogelijk voor een aanvaller om toegang te krijgen tot content van het host-systeem. Het kan dan ook gaan om inloggegevens voor andere systemen, zo waarschuwt Tibco. De impact van het beveiligingslek, aangeduid als CVE-2018-18809, is op een schaal van 1 tot en met 10 beoordeeld met een 9.9.

Tibco kwam op 6 maart 2019 al met een beveiligingsbulletin. Nu blijkt dat aanvallers actief misbruik van deze kwetsbaarheid maken, aldus het CISA. Dat geldt ook voor het tweede beveiligingslek (CVE-2018-5430), waarmee een ingelogde gebruiker toegang tot vertrouwelijke informatie kan krijgen, waaronder inloggegevens waar de JasperReports-server gebruik van maakt. De impact van dit lek is met een 7.7 lager ingeschaald. Voor deze kwetsbaarheid verscheen al op 17 april 2018 een update. Het CISA heeft Amerikaanse overheidsinstanties die van de software gebruikmaken opgedragen de patches voor 19 januari te installeren.