Progress 软件公司发布了一份重要的安全公告,针对其功能强大的 Telerik Report Server 中新发现的四个漏洞,Telerik Report Server 是一种广泛用于将报表功能嵌入 Web、桌面和云应用程序的工具。这些漏洞从凭据填充和暴力攻击到关键代码执行缺陷,给使用该工具的企业带来了严重风险。
这些漏洞被识别为 CVE-2024-7292、CVE-2024-7293、CVE-2024-7294 和 CVE-2024-8015,影响 Telerik Report Server 2024 Q3 (10.2.24.924) 之前的版本。這些漏洞可讓攻擊者
执行凭证填充攻击: 利用缺乏登录尝试限制 (CVE-2024-7292)。
对用户密码进行暴力破解攻击: 由于密码要求较弱 (CVE-2024-7293)。
发起拒绝服务 (DoS) 攻击: 在没有速率限制的情况下针对匿名端点进行攻击 (CVE-2024-7294)。
在服务器上执行任意代码: 通过不安全的类型解析漏洞 (CVE-2024-8015)。
这些漏洞中最严重的 CVE-2024-8015 的 CVSS 得分为 9.1,攻击者可完全控制报告服务器。
Progress Software 已敦促所有用户立即将其 Report Server 部署更新到最新版本(10.2.24.924)。
Ezoic
對於無法立即更新至修補版本的用戶,Progress Software 建議採取以下臨時緩解措施,以應對 CVE-2024-8015:
将报告服务器的应用程序池用户更改为权限有限的用户。这将限制攻击者在成功利用该漏洞时可能造成的潜在破坏。有关如何实施此缓解措施的详细说明,请参阅 Progress 知识库文章 “How To Change IIS User for Report Server”。
发表评论
您还未登录,请先登录。
登录