Progress Software 解决了 Telerik Report Server 中一个被跟踪为 CVE-2024-6327 的关键远程代码执行漏洞。

Telerik Report Server 是一个基于 Web 的应用程序，旨在创建、管理和提供各种格式的报告。它提供了用于报告设计、调度和安全交付的工具，使组织能够集中其报告流程。

Progress Software 解决了 Telerik Report Server 中一个严重的远程代码执行缺陷，该缺陷被跟踪为 CVE-2024-6327（CVSS 评分为 9.9），可利用该漏洞来破坏易受攻击的设备。

该公司发布的报告中写道：“在® 2024 年第 2 季度 （10.1.24.709） 之前的 Telerik® Report Server 版本中，可能会通过不安全的反序列化漏洞进行远程代码执行攻击。 “更新到 Report Server 2024 Q2 （10.1.24.709） 或更高版本是删除此漏洞的唯一方法。Progress Telerik 团队强烈建议升级到下表中列出的最新版本。

严重缺陷是由于不受信任数据的反序列化问题造成的。

该漏洞会影响 Report Server 2024 Q2 （10.1.24.514） 及更早版本，版本 2024 Q2 （10.1.24.709） 解决了该漏洞。

若要暂时缓解此问题，请将报表服务器应用程序池的用户更改为具有有限权限的用户。

进展尚未透露漏洞 CVE-2024-6327 是否已在野外被利用。

6 月，研究人员在 Progress Telerik Report Servers 上发布了另一个身份验证绕过漏洞的概念验证 （PoC） 漏洞利用代码，该漏洞跟踪了 CVE-2024-1800（CVSS 评分：8.8）。

未经身份验证的攻击者可利用此缺陷，通过身份验证绕过漏洞访问 Telerik Report Server 受限功能。

研究人员演示了如何通过利用绕过漏洞 CVE-2024-4358 创建管理员帐户。