Progress Software از کاربران خواست تا نمونههای Telerik Report Server خود را به دنبال کشف نقص امنیتی مهمی با شناسه CVE-2024-6327 (امتیاز CVSS: 9.9) که میتواند منجر به اجرای کد از راه دور (RCE) شود، به روز کنند.
این آسیبپذیری بر Report Server نسخه 2024 Q2 (10.1.24.514) و قبلتر تأثیر میگذارد. این شرکت در بیانیهای گفت: “در نسخههای Progress Telerik Report Server قبل از سه ماهه دوم سال 2024 (10.1.24.709)، یک حمله اجرای کد از راه دور از طریق یک آسیبپذیری ناامن deserialization امکانپذیر است.
نقصهای سریالزدایی زمانی رخ میدهد که یک اپلیکیشن، دادههای غیرقابل اعتمادی را که نفوذگر، کنترل آنها را بدون اعتبارسنجی کافی در محل دارد، بازسازی میکند و در نتیجه فرمانهای غیرمجاز را اجرا میکند.
بر اساس گزارش Progress Software، نقص مذکور در نسخه 10.1.24.709 برطرف شده است. به عنوان کاهش موقت، توصیه شده است که کاربر Report Server Application به یک کاربر با مجوز محدود تغییر داده شود.
https://thehackernews.com/2024/07/critical-flaw-in-telerik-report-server.html
