İlerleme Telerik Raporu sunucusunda kimlik doğrulama atlamayla ilgili yeni bir güvenlik açığı keşfedildi.
Bu güvenlik açığına ilişkin CVE, CVE-2024-4358 olarak atanmıştır ve ciddiyeti 9,8 (Kritik).
Bu güvenlik açığı Telerik Report Server 2024 Q1 (10.0.24.305) ve önceki sürümlerde bulunmaktadır.
Ancak Progress bu güvenlik açığını en son sürümlerde düzeltti ve bir güvenlik danışma belgesi yayımlandı.
All-in-One Cybersecurity Platform for MSPs to provide full breach protection with a single tool, Watch a Full Demo
Cyber Security News ile paylaşılan raporlara göre, bu güvenlik açığından yararlanılması, kimliği doğrulanmamış bir tehdit aktörünün Spoofing yoluyla Telerik Rapor Sunucusunun kısıtlı işlevlerine erişmesine olanak tanıyabilir.
Bu güvenlik açığının tehdit aktörleri tarafından yaygın olarak kullanıldığına dair herhangi bir rapor olmamasına rağmen, kullanıcıların yine de sunucuda bulunan ve sunucuya eklenmemiş yerel kullanıcıların listesini incelemeleri önerilir. {ana bilgisayar}/Kullanıcılar/Dizin.
Sunucuda ek kullanıcılar varsa, bu muhtemelen sunucunun kötüye kullanıldığı anlamına gelebilir.
Ancak bu güvenlik açığıyla ilgili daha fazla ayrıntı henüz yayınlanmadı.
Progress, bu güvenlik açığını düzeltmenin tek yolunun, sürümü Report Server 2024 Q2 (10.1.24.514) veya sonraki bir sürüme güncellemek olduğunu belirtti.
Bu güvenlik açığının, Trend Micro Zero Day Initiative ile çalışan Çağırma Ekibinden Sina Kheirkhah tarafından bildirildiği belirtildi.
İlerleme Telerik Rapor Sunucusu kullanıcılarının bu güvenlik açığından yararlanılmasını önlemek için sunucularını en son sürümlere yükseltmeleri önerilir.
Get special offers from ANY.RUN Sandbox. Until May 31, get 6 months of free service or extra licenses. Sign up for free.