Falha crítica em Telerik Report Server
26 de Julho de 2024

A Progress Software está instando os usuários a atualizarem suas instâncias do Telerik Report Server após a descoberta de uma falha de segurança crítica que pode resultar em execução de código remoto.

A vulnerabilidade, identificada como CVE-2024-6327 (pontuação CVSS: 9.9), afeta a versão 2024 Q2 (10.1.24.514) do Report Server e anteriores.

"Nas versões anteriores à 2024 Q2 (10.1.24.709) do Progress Telerik Report Server, um ataque de execução de código remoto é possível por meio de uma vulnerabilidade de deserialização insegura", disse a empresa em um comunicado.

Falhas de deserialização ocorrem quando uma aplicação reconstrói dados não confiáveis que um atacante tem controle, sem validação adequada, resultando na execução de comandos não autorizados.

A Progress Software informou que a falha foi corrigida na versão 10.1.24.709.

Como mitigação temporária, recomenda-se alterar o usuário do Application Pool do Report Server para um com permissões limitadas.

Os administradores podem verificar se seus servidores estão vulneráveis a ataques seguindo estas etapas -

Acesse a UI web do Report Server e faça login usando uma conta com direitos de administrador.
Abra a página de Configuração (~/Configuration/Index).
Selecione a aba Sobre e o número da versão será exibido no painel à direita.

A divulgação ocorre quase dois meses após a empresa ter corrigido outra falha crítica no mesmo software ( CVE-2024-4358 , pontuação CVSS: 9.8) que poderia ser explorada por um atacante remoto para burlar a autenticação e criar usuários administradores falsos.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...