发布日期：2021-10-12
更新日期：2021-11-11

受影响系统：

TIBCO JasperReports Server <= 7.9.0
TIBCO JasperReports Server <= 7.8.0
TIBCO JasperReports Server <= 7.2.1

描述：

---

CVE(CAN) ID: CVE-2021-35496

TIBCO JasperReports Server是美国TIBCO Software公司的一款可嵌入的报告服务器，它提供可以嵌入到Web或移动设备中的报告和分析功能。
TIBCO JasperReports Server存在XML外部实体注入漏洞。该漏洞源于程序未对XMLA Connections组件中的用户XML输入进行充分验证。远程攻击者可利用该漏洞获得读取访问权限并对受影响系统数据子集进行更新、插入或删除，及导致拒绝服务(DoS)。

<**>

建议：

---

厂商补丁：

TIBCO
-----
目前厂商已经发布了升级补丁以修复这个安全问题，补丁获取链接：

https://www.tibco.com/support/advisories/2021/10/tibco-security-advisory-october-12-2021-tibco-jasperreports-server-2021-35496

浏览次数：1307
严重程度：0（网友投票）