Progress 修补 Telerik 报告服务器中的重大安全漏洞 CVE-2024-8015 (CVSS 9.1)

阅读量41370

|

发布时间 : 2024-10-11 10:28:46

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/progress-patches-critical-security-flaw-cve-2024-8015-cvss-9-1-in-telerik-report-server/

译文仅供参考,具体内容表达以及含义原文为准。

Progress 软件公司发布了一份重要的安全公告,针对其功能强大的 Telerik Report Server 中新发现的四个漏洞,Telerik Report Server 是一种广泛用于将报表功能嵌入 Web、桌面和云应用程序的工具。这些漏洞从凭据填充和暴力攻击到关键代码执行缺陷,给使用该工具的企业带来了严重风险。

这些漏洞被识别为 CVE-2024-7292、CVE-2024-7293、CVE-2024-7294 和 CVE-2024-8015,影响 Telerik Report Server 2024 Q3 (10.2.24.924) 之前的版本。這些漏洞可讓攻擊者

执行凭证填充攻击: 利用缺乏登录尝试限制 (CVE-2024-7292)。
对用户密码进行暴力破解攻击: 由于密码要求较弱 (CVE-2024-7293)。
发起拒绝服务 (DoS) 攻击: 在没有速率限制的情况下针对匿名端点进行攻击 (CVE-2024-7294)。
在服务器上执行任意代码: 通过不安全的类型解析漏洞 (CVE-2024-8015)。
这些漏洞中最严重的 CVE-2024-8015 的 CVSS 得分为 9.1,攻击者可完全控制报告服务器。

Progress Software 已敦促所有用户立即将其 Report Server 部署更新到最新版本(10.2.24.924)。

Ezoic
對於無法立即更新至修補版本的用戶,Progress Software 建議採取以下臨時緩解措施,以應對 CVE-2024-8015:

将报告服务器的应用程序池用户更改为权限有限的用户。这将限制攻击者在成功利用该漏洞时可能造成的潜在破坏。有关如何实施此缓解措施的详细说明,请参阅 Progress 知识库文章 “How To Change IIS User for Report Server”。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66