More

    Kritična greška u Telerik Report serveru predstavlja rizik od udaljenog izvršavanja koda

    Progress Software poziva korisnike da ažuriraju svoje instance Telerik Report Servera nakon otkrivanja kritične sigurnosne greške koja bi mogla rezultirati daljinskim izvršavanjem koda.

    Ranjivost, praćena kao CVE-2024-6327 (CVSS rezultat: 9,9), utiče na verziju Report Servera 2024 Q2 (10.1.24.514) i ranije.

    “U verzijama Telerik Report Servera prije drugog kvartala 2024. (10.1.24.709), napad na daljinsko izvršavanje koda moguć je kroz nesigurnu ranjivost deserializacije”, navodi kompanija u savjetovanju.

    Greške deserializacije nastaju kada aplikacija rekonstruiše nepouzdane podatke nad kojima napadač ima kontrolu bez odgovarajuće provjere valjanosti, što rezultira izvršavanjem neovlaštenih naredbi.

    Progress Software je rekao da je greška otklonjena u verziji 10.1.24.709. Kao privremeno ublažavanje, preporučuje se da promijenite korisnika za Pool aplikacija poslužitelja izvještaja u korisnika s ograničenom dozvolom.

    Administratori mogu provjeriti jesu li njihovi serveri osjetljivi na napade prolaskom kroz ove korake:

    • Idite na web korisničko sučelje poslužitelja izvještaja i prijavite se koristeći račun s administratorskim pravima

    • Otvorite stranicu za konfiguraciju (~/Configuration/Index).

    • Odaberite karticu About i broj verzije će biti prikazan u oknu s desne strane.

    Otkrivanje dolazi skoro dva mjeseca nakon što je kompanija zakrpila još jedan kritičan nedostatak u istom softveru ( CVE-2024-4358 , CVSS rezultat: 9,8) koji bi udaljeni napadač mogao zloupotrijebiti da zaobiđe autentifikaciju i stvori lažne administratorske korisnike.

    Izvor:The Hacker News

    Recent Articles

    spot_img

    Related Stories