Progress 修补 Telerik 报告服务器中的重大安全漏洞 CVE-2024-8015 (CVSS 9.1)

Progress 软件公司发布了一份重要的安全公告，针对其功能强大的 Telerik Report Server 中新发现的四个漏洞。Telerik Report Server 是一种广泛用于将报表功能嵌入 Web、桌面和云应用程序的工具。这些漏洞从凭据填充和暴力攻击到关键代码执行缺陷，给使用该工具的企业带来了严重风险。

这些漏洞被识别为 CVE-2024-7292、CVE-2024-7293、CVE-2024-7294 和 CVE-2024-8015，影响 Telerik Report Server 2024 Q3 (10.2.24.924) 之前的版本。

这些漏洞可让攻击者：

1. 执行凭证填充攻击—— 利用缺乏登录尝试限制 (CVE-2024-7292)；
2. 对用户密码进行暴力破解攻击—— 由于密码要求较弱 (CVE-2024-7293)；
3. 发起拒绝服务攻击—— 在没有速率限制的情况下针对匿名端点进行攻击(CVE-2024-7294)；
4. 在服务器上执行任意代码—— 通过不安全的类型解析漏洞 (CVE-2024-8015)。

Progress Software 已敦促所有用户立即将其 Report Server 部署更新到最新版本（10.2.24.924）。

对于无法立即更新至修补版本的用户，Progress Software建议采取以下缓解措施，以应对CVE-2024-8015：

将报告服务器的应用程序池用户更改为权限有限的用户。这将限制攻击者在成功利用该漏洞时可能造成的潜在破坏。

有关如何实施此缓解措施的详细说明，请参阅 Progress 知识库文章 “How To Change IIS User for Report Server”。

转自安全客，原文链接：https://www.anquanke.com/post/id/300739

封面来源于网络，如有侵权请联系删除