Podatność w Progress Telerik Report Server umożliwia zdalne wykonanie kodu (RCE) poprzez wstrzykiwanie obiektów wynikające z niebezpiecznego rozwiązywania typów. Zagrożenie jest krytyczne, ponieważ atakujący może przejąć pełną kontrolę nad serwerem bez interakcji użytkownika.
▸ Pokaż oryginał (EN)
In Progress Telerik Report Server versions prior to 2024 Q3 (10.2.24.924), a remote code execution attack is possible through object injection via an insecure type resolution vulnerability.
Podatność (CWE-470 — Use of Externally-Controlled Input to Select Classes or Code) polega na tym, że aplikacja nieprawidłowo rozwiązuje typy obiektów na podstawie danych wejściowych kontrolowanych przez atakującego. Poprzez przesłanie spreparowanego payloadu dochodzi do wstrzykiwania obiektów (object injection), co prowadzi do deserializacji niebezpiecznych typów. W konsekwencji atakujący jest w stanie doprowadzić do wykonania dowolnego kodu po stronie serwera.
Atakujący z uprawnieniami wysokiego poziomu (PR:H) może zdalnie wykonać dowolny kod na serwerze, uzyskując pełny dostęp do poufnych danych, możliwość modyfikacji systemu oraz zakłócenia jego działania, a zasięg ataku wykracza poza granice aplikacji (S:C).
Należy niezwłocznie zaktualizować Progress Telerik Report Server do wersji 2024 Q3 (10.2.24.924) lub nowszej. Szczegółowe informacje dostępne są w oficjalnej dokumentacji producenta: https://docs.telerik.com/report-server/knowledge-base/insecure-type-resolution-cve-2024-8015
Progress Telerik Report Server w wersjach wcześniejszych niż 2024 Q3 (10.2.24.924)
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:HProgress Telerik Report Server
APPProgress< 10.2.24.924
Powiązane podatności
RCE przez insecure deserialization w Progress Telerik Report Server
RCE przez insecure deserialization w Progress Telerik Report Server
In Progress® Telerik® Report Server, versions prior to 2025 Q1 (11.0.25.211) when using the older .NET Framewo...
In Progress® Telerik® Report Server versions prior to 2024 Q4 (10.3.24.1112), the encryption of local asset da...
In Progress® Telerik® Report Server versions prior to 2024 Q3 (10.2.24.806), a credential stuffing attack is p...