نقص مهم Telerik Report Server خطر اجرای کد از راه دور را به همراه دارد

security news

Progress Software از کاربران خواست تا نمونه‌های Telerik Report Server خود را به دنبال کشف نقص امنیتی مهمی با شناسه CVE-2024-6327 (امتیاز CVSS: 9.9) که می‌تواند منجر به اجرای کد از راه دور (RCE) شود، به روز کنند.

این آسیب‌پذیری بر Report Server نسخه 2024 Q2 (10.1.24.514) و قبل‌تر تأثیر می‌گذارد. این شرکت در بیانیه‌ای گفت: “در نسخه‌های Progress Telerik Report Server قبل از سه ماهه دوم سال 2024 (10.1.24.709)، یک حمله اجرای کد از راه دور از طریق یک آسیب‌پذیری ناامن deserialization امکان‌پذیر است.

نقص‌های سریال‌زدایی زمانی رخ می‌دهد که یک اپلیکیشن، داده‌های غیرقابل اعتمادی را که نفوذگر، کنترل آن‌ها را بدون اعتبارسنجی کافی در محل دارد، بازسازی می‌کند و در نتیجه فرمان‌های غیرمجاز را اجرا می‌کند.

بر اساس گزارش Progress Software، نقص مذکور در نسخه 10.1.24.709 برطرف شده است. به عنوان کاهش موقت، توصیه شده است که کاربر Report Server Application به یک کاربر با مجوز محدود تغییر داده شود.

https://thehackernews.com/2024/07/critical-flaw-in-telerik-report-server.html