Progress Software ha instado a los usuarios a actualizar sus instancias de Telerik Report Server después de descubrir una grave vulnerabilidad de seguridad. La vulnerabilidad, identificada como CVE-2024-6327 con una puntuación CVSS de 9.9, afecta a la versión del Report Server 2024 Q2 (10.1.24.514) y versiones anteriores.
La compañía alertó que las versiones anteriores a 2024 Q2 (10.1.24.709) de Progress Telerik Report Server son susceptibles a un ataque de ejecución remota de código a través de una vulnerabilidad de deserialización insegura.
Las fallas de deserialización ocurren cuando una aplicación reconstruye datos no confiables que un atacante controla sin una validación adecuada, lo que resulta en la ejecución de comandos no autorizados.
Progress Software mencionó que la vulnerabilidad ha sido solucionada en la versión 10.1.24.709. Como medida temporal, se recomienda cambiar el usuario para el Report Server Application Pool a uno con permisos limitados.
Los administradores pueden verificar si sus servidores son vulnerables a ataques siguiendo estos pasos: Ir a la interfaz web del Report Server e iniciar sesión con una cuenta con derechos de administrador, luego abrir la página de configuración (~/Configuration/Index) y seleccionar la pestaña Acerca de para visualizar el número de versión en el panel a la derecha.
El anuncio se produce aproximadamente dos meses después de que la empresa parchara otra vulnerabilidad crítica en el mismo software (CVE-2024-4358, con una puntuación CVSS de 9.8) que podría ser aprovechada por un atacante remoto para evadir la autenticación y crear usuarios administradores falsos.
Vía The Hacker News
