Telerik Report Server 中存在严重缺陷，存在远程代码执行风险

在发现可能导致远程代码执行的严重安全漏洞后，Progress Software 敦促用户更新其 Telerik Report Server 实例。

该漏洞编号为CVE-2024-6327（CVSS 评分：9.9），影响 Report Server 版本 2024 Q2（10.1.24.514）及更早版本。

该公司在一份公告中表示： “在 2024 年第二季度（10.1.24.709）之前的 Telerik Report Server 版本中，可能通过不安全的反序列化漏洞发起远程代码执行攻击。”

当应用程序重建攻击者在没有进行充分验证的情况下控制的不受信任的数据时，就会出现反序列化缺陷，从而导致执行未经授权的命令。

Progress Software 表示，该漏洞已在 10.1.24.709 版本中得到解决。作为临时缓解措施，建议将 Report Server 应用程序池的用户更改为具有有限权限的用户。

管理员可以通过以下步骤检查其服务器是否容易受到攻击 -

转到报表服务器 Web UI 并使用具有管理员权限的帐户登录

打开配置页面（~/Configuration/Index）。

选择“关于”选项卡，版本号将显示在右侧窗格中。

此次披露是在该公司修补同一软件中的另一个严重缺陷（ CVE-2024-4358 ，CVSS 评分：9.8）近两个月后发布的，该缺陷可能被远程攻击者滥用来绕过身份验证并创建恶意管理员用户。