Progress Software 解决了 Telerik Report Server 中一个被跟踪为 CVE-2024-6327 的关键远程代码执行漏洞。
Telerik Report Server 是一个基于 Web 的应用程序,旨在创建、管理和提供各种格式的报告。它提供了用于报告设计、调度和安全交付的工具,使组织能够集中其报告流程。
Progress Software 解决了 Telerik Report Server 中一个严重的远程代码执行缺陷,该缺陷被跟踪为 CVE-2024-6327(CVSS 评分为 9.9),可利用该漏洞来破坏易受攻击的设备。
该公司发布的报告中写道:“在® 2024 年第 2 季度 (10.1.24.709) 之前的 Telerik® Report Server 版本中,可能会通过不安全的反序列化漏洞进行远程代码执行攻击。 “更新到 Report Server 2024 Q2 (10.1.24.709) 或更高版本是删除此漏洞的唯一方法。Progress Telerik 团队强烈建议升级到下表中列出的最新版本。
严重缺陷是由于不受信任数据的反序列化问题造成的。
该漏洞会影响 Report Server 2024 Q2 (10.1.24.514) 及更早版本,版本 2024 Q2 (10.1.24.709) 解决了该漏洞。
若要暂时缓解此问题,请将报表服务器应用程序池的用户更改为具有有限权限的用户。
进展尚未透露漏洞 CVE-2024-6327 是否已在野外被利用。
6 月,研究人员在 Progress Telerik Report Servers 上发布了另一个身份验证绕过漏洞的概念验证 (PoC) 漏洞利用代码,该漏洞跟踪了 CVE-2024-1800(CVSS 评分:8.8)。
未经身份验证的攻击者可利用此缺陷,通过身份验证绕过漏洞访问 Telerik Report Server 受限功能。
研究人员演示了如何通过利用绕过漏洞 CVE-2024-4358 创建管理员帐户。