Progress Software, uzaktan kod yürütülmesine yol açabilecek kritik bir güvenlik açığının keşfedilmesinin ardından kullanıcıları Telerik Report Server örneklerini güncellemeleri konusunda uyarıyor.
Güvenlik açığı, şu şekilde izlendi: CVE-2024-6327 (CVSS puanı: 9,9), Report Server sürüm 2024 Q2 (10.1.24.514) ve önceki sürümleri etkiler.
Şirket, yayınladığı duyuruda, “Devam eden Telerik Report Server’ın 2024 Q2 öncesi sürümlerinde (10.1.24.709), güvenli olmayan bir seri çözme açığı yoluyla uzaktan kod yürütme saldırısı mümkün” ifadelerine yer verdi.
Serileştirme hataları, bir uygulamanın saldırganın kontrolü altında olan güvenilmeyen verileri yeterli doğrulama olmadan yeniden oluşturması ve bunun sonucunda yetkisiz komutların yürütülmesiyle ortaya çıkar.
Progress Software, kusurun 10.1.24.709 sürümünde giderildiğini söyledi. Geçici bir önlem olarak, Rapor Sunucusu Uygulama Havuzu kullanıcısını sınırlı izne sahip bir kullanıcıyla değiştirmeniz önerilir.
Yöneticiler, sunucularının saldırılara karşı savunmasız olup olmadığını şu adımları izleyerek kontrol edebilirler:
- Rapor Sunucusu web kullanıcı arayüzüne gidin ve yönetici haklarına sahip bir hesap kullanarak oturum açın
- Yapılandırma sayfasını açın (~/Configuration/Index).
- Hakkında sekmesini seçin ve sürüm numarası sağdaki bölmede görüntülenecektir.
Açıklama, şirketin aynı yazılımdaki başka bir kritik eksikliği (CVE-2024-4358, CVSS puanı: 9,8) düzeltmesinden yaklaşık iki ay sonra geldi. Bu eksiklik, uzaktaki bir saldırgan tarafından kimlik doğrulamasını atlatmak ve kötü niyetli yönetici kullanıcıları oluşturmak için kötüye kullanılabiliyordu.