خلل خطير في خادم تقرير Telerik يشكل خطرًا على تنفيذ التعليمات البرمجية عن بعد
تحث شركة Progress Software المستخدمين على تحديث مثيلات Telerik Report Server الخاصة بهم بعد اكتشاف ثغرة أمنية خطيرة قد تؤدي إلى تنفيذ تعليمات برمجية عن بعد.
الثغرة الأمنية، تعقبها CVE-2024-6327 (درجة CVSS: 9.9)، يؤثر على إصدار Report Server 2024 Q2 (10.1.24.514) والإصدارات الأقدم.
“في إصدارات Progress Telerik Report Server قبل الربع الثاني من عام 2024 (10.1.24.709)، من الممكن حدوث هجوم تنفيذ تعليمات برمجية عن بعد من خلال ثغرة أمنية في إلغاء التسلسل،” الشركة قال في استشارة.
عيوب إلغاء التسلسل تحدث عندما التطبيق يعيد بناء البيانات غير الموثوق بها التي يتحكم فيها المهاجم دون التحقق الكافي من الصحة، مما يؤدي إلى تنفيذ أوامر غير مصرح بها.
وقالت شركة Progress Software إن الخلل تمت معالجته في الإصدار 10.1.24.709. كتخفيف مؤقت، يوصى بتغيير المستخدم الخاص بمجمع تطبيقات خادم التقارير إلى مستخدم يتمتع بإذن محدود.
يمكن للمسؤولين التحقق مما إذا كانت خوادمهم عرضة للهجمات من خلال اتباع الخطوات التالية –
- انتقل إلى واجهة مستخدم ويب Report Server وقم بتسجيل الدخول باستخدام حساب يتمتع بحقوق المسؤول
- افتح صفحة التكوين (~/التكوين/الفهرس).
- حدد علامة التبويب “حول” وسيتم عرض رقم الإصدار في الجزء الموجود على اليمين.
ويأتي هذا الكشف بعد شهرين تقريبًا من قيام الشركة بتصحيح عيب خطير آخر في نفس البرنامج (CVE-2024-4358، درجة CVSS: 9.8) والذي يمكن إساءة استخدامه من قبل مهاجم عن بعد لتجاوز المصادقة وإنشاء مستخدمين إداريين مارقين.
إرسال التعليق