A Progress Software program está pedindo aos usuários que atualizem suas instâncias do Telerik Report Server após a descoberta de uma falha crítica de segurança que pode resultar na execução remota de código.
A vulnerabilidade, rastreada como CVE-2024-6327 (pontuação CVSS: 9,9), afeta a versão 2024 Q2 do Report Server (10.1.24.514) e anteriores.
“Nas versões do Telerik Report Server anteriores ao segundo trimestre de 2024 (10.1.24.709), um ataque de execução remota de código é possível por meio de uma vulnerabilidade de desserialização insegura”, disse a empresa em um comunicado.
Falhas de desserialização ocorrem quando um aplicativo reconstrói dados não confiáveis sobre os quais um invasor tem controle, sem validação adequada, resultando na execução de comandos não autorizados.
A Progress Software program disse que a falha foi corrigida na versão 10.1.24.709. Como mitigação temporária, é recomendado alterar o usuário do Report Server Software Pool para um com permissão limitada.
Os administradores podem verificar se seus servidores estão vulneráveis a ataques seguindo estas etapas:
- Acesse a interface da Internet do Report Server e faça login usando uma conta com direitos de administrador
- Abra a página de configuração (~/Configuration/Index).
- Selecione a aba Sobre e o número da versão será exibido no painel à direita.
A divulgação ocorre quase dois meses após a empresa corrigir outra falha crítica no mesmo software program (CVE-2024-4358, pontuação CVSS: 9,8) que poderia ser usada por um invasor remoto para ignorar a autenticação e criar usuários administradores desonestos.