Trusted DesignCVE-2018-5430 の詳細
CVEの情報
説明:
The Spring web flows of TIBCO Software Inc.'s TIBCO JasperReports Server, TIBCO JasperReports Server Community Edition, TIBCO JasperReports Server for ActiveMatrix BPM, TIBCO Jaspersoft for AWS with Multi-Tenancy, and TIBCO Jaspersoft Reporting and Analytics for AWS contain a vulnerability which may allow any authenticated user read-only access to the contents of the web application, including key configuration files. Affected releases include TIBCO Software Inc.'s TIBCO JasperReports Server: versions up to and including 6.2.4; 6.3.0; 6.3.2; 6.3.3;6.4.0; 6.4.2, TIBCO JasperReports Server Community Edition: versions up to and including 6.4.2, TIBCO JasperReports Server for ActiveMatrix BPM: versions up to and including 6.4.2, TIBCO Jaspersoft for AWS with Multi-Tenancy: versions up to and including 6.4.2, TIBCO Jaspersoft Reporting and Analytics for AWS: versions up to and including 6.4.2.
CVE更新日: 2018-04-17 18:29:00.293000
CVSSバージョン: 3.1
CVSSスコア: 8.8
KEVの情報
KEV更新日: 2022-12-29
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.414170000
EPSS更新日: 2026-06-12 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: False
CVE-2018-5430に関する脆弱性調査結果を以下に解説します。
1. 脆弱性の概要
CVE-2018-5430は、TIBCO Software Inc.の複数のJasperReports製品のSpring web flowに存在する情報漏えいの脆弱性です。
1.1 影響
この脆弱性により、認証されたユーザーは、Webアプリケーションのコンテンツ、特に重要な設定ファイルを含む内容に読み取り専用でアクセスできる可能性があります。 攻撃者は、ユーザー権限に関わらず、アプリケーションをホストしているファイルシステムからファイルにアクセスしたり、ファイルを含めたりすることが可能です。 具体的には、ディレクトリトラバーサルを介してWEB-INFディレクトリ構造内の機密設定ファイルを読み取ることができ、これがさらなる悪用につながる可能性があります。 本脆弱性はCISAのKnown Exploited Vulnerabilitiesカタログに掲載されており、実際に悪用された事例が確認されています。
1.2 深刻度
CVSSv3.0のスコアは7.7で、「High」(高)と評価されています。 CVSSv3.0のベクトル文字列は「CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N」です。 これは、攻撃経路がネットワーク経由(AV:N)、攻撃の複雑度が低い(AC:L)、必要な特権レベルが低い(PR:L)、ユーザーインタラクションが不要(UI:N)、スコープが変更される(S:C)、機密性への影響が高度(C:H)、完全性への影響がない(I:N)、可用性への影響がない(A:N)ことを示しています。
2. 対象となる環境
2.1 影響を受けるOSバージョン
特定のOSバージョンに限定されるものではなく、TIBCO JasperReports Serverが稼働するLinux/Unixホストにも影響があるとの記述がありますが、この脆弱性はアプリケーション自体に存在するため、OSに依存しないと考えられます。
2.2 影響を受ける設定
TIBCO Software Inc.の以下の製品のSpring web flowsが影響を受けます。 * TIBCO JasperReports Server: バージョン 6.2.4 およびそれ以前、6.3.0、6.3.2、6.3.3、6.4.0、6.4.2 * TIBCO JasperReports Server Community Edition: バージョン 6.4.2 およびそれ以前 * TIBCO JasperReports Server for ActiveMatrix BPM: バージョン 6.4.2 およびそれ以前 * TIBCO Jaspersoft for AWS with Multi-Tenancy: バージョン 6.4.2 およびそれ以前 * TIBCO Jaspersoft Reporting and Analytics for AWS: バージョン 6.4.2 およびそれ以前
3. 影響を受けた時の兆候
影響を受けた際の具体的な兆候に関する情報は見当たりません。情報漏えいの脆弱性であるため、通常と異なるファイルアクセスログや、設定ファイルの不審な参照履歴などが考えられますが、これは一般的な推測であり、CVE-2018-5430に特化した具体的な兆候は不明です。
4. 推奨対策
4.1 本対策
ベンダーであるTIBCO Software Inc.の指示に従って、速やかにセキュリティ更新プログラムを適用することが推奨されます。 TIBCOは2018年4月にはこの脆弱性に対処しています。
4.2 暫定回避策(緩和策)
本脆弱性に対する具体的な暫定回避策に関する情報は見当たりません。基本的にベンダーからの修正パッチを適用することが対策となります。
一般的な脆弱性管理のベストプラクティスとして、CISAのKnown Exploited Vulnerabilitiesカタログに掲載されている脆弱性は、実際に悪用が確認されているため、即座に対応を優先すべきです。 また、ネットワークセグメンテーション、エンドポイント保護、アクセス制御などの多層防御を導入することで、脆弱性が存在する場合でもリスクの露出を制限するのに役立ちます。
他に解説すべき観点
参照したサイト