W wersjach Progress Telerik Report Server wcześniejszych niż 2024 Q2 (10.1.24.709) istnieje krytyczna podatność insecure deserialization umożliwiająca zdalne wykonanie kodu. Atakujący uwierzytelniony sieciowo może przejąć pełną kontrolę nad serwerem bez interakcji użytkownika.
▸ Pokaż oryginał (EN)
In Progress® Telerik® Report Server versions prior to 2024 Q2 (10.1.24.709), a remote code execution attack is possible through an insecure deserialization vulnerability.
Podatność wynika z niebezpiecznego deserializowania danych dostarczonych przez użytkownika (CWE-502). Atakujący z podstawowym poziomem uprawnień może wysłać specjalnie spreparowany payload do podatnego endpointu aplikacji. Podczas deserializacji serwer przetwarza złośliwe dane bez odpowiedniej walidacji, co prowadzi do wykonania dowolnego kodu w kontekście serwera. Zasięg ataku wykracza poza bezpośredni komponent (Scope: Changed), co zwiększa potencjalny wpływ na środowisko.
Udany atak umożliwia atakującemu zdalne wykonanie kodu (RCE) na serwerze, co może prowadzić do pełnego przejęcia systemu, wycieku poufnych danych, naruszenia integralności oraz niedostępności usługi.
Należy niezwłocznie zaktualizować Progress Telerik Report Server do wersji 2024 Q2 (10.1.24.709) lub nowszej. Szczegółowe informacje dostępne są w oficjalnym dokumencie producenta pod adresem: https://docs.telerik.com/report-server/knowledge-base/deserialization-vulnerability-cve-2024-6327
Progress Telerik Report Server we wszystkich wersjach wcześniejszych niż 2024 Q2 (10.1.24.709)
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HProgress Telerik Report Server
APPProgress< 10.1.24.709
Powiązane podatności
RCE w Progress Telerik Report Server przez insecure type resolution
RCE przez insecure deserialization w Progress Telerik Report Server
In Progress® Telerik® Report Server, versions prior to 2025 Q1 (11.0.25.211) when using the older .NET Framewo...
In Progress® Telerik® Report Server versions prior to 2024 Q4 (10.3.24.1112), the encryption of local asset da...
In Progress® Telerik® Report Server versions prior to 2024 Q3 (10.2.24.806), a credential stuffing attack is p...