2024年3月20日,Progress Software披露了其Telerik Report Server产品中的三个漏洞。漏洞编号为CVE-2024-1800、CVE-2024-1801和CVE-2024-1856。
另一个 Progress Telerik 报告服务器漏洞 (CVE-2024-4358) 于 2024 年 5 月 31 日披露,可能允许攻击者在安装了受影响的 Progress Telerik 软件版本的系统上执行代码。比利时网络安全中心最近发布了一份安全公告,敦促客户修补这些漏洞。
Progress Telerik 漏洞概述
CCB详细说明了所有四个漏洞、相关风险和有效攻击方式,并提供了包含有关每个漏洞的更多详细信息的链接。
不安全的反序列化漏洞
前两个漏洞(CVE-2024-1801和CVE-2024-1856)是Progress Telerik Reporting中不安全的反序列化漏洞,攻击者可以利用这两个漏洞运行任意代码。
具有本地访问权限的攻击者可能会利用 CVE-2024-1801,而如果特定的 Web 应用程序配置错误,CVE-2024-1856 可能会被远程利用。
远程代码执行漏洞
第三个漏洞(CVE-2024-1800)是 Progress Telerik 报告服务器中不安全的反序列化漏洞。成功利用此漏洞可导致在受影响的系统上远程执行任意代码。
2024 年 Q1(10.0.24.130)之前的 Progress Telerik Report Server 版本容易受到此问题的影响。
身份验证绕过漏洞
后来披露的另一个漏洞CVE-2024-4358 影响 Telerik 报告服务器。这是一个身份验证绕过漏洞,可能允许未经身份验证的攻击者访问 Progress Telerik 报告服务器中的受限功能。
该问题影响 Progress Telerik Report Server 截至 2024 Q1(10.0.24.305)的版本。
针对 Telerik 漏洞的建议措施
比利时网络安全中心强烈建议在经过全面测试后,在易受攻击的设备上应用 Progress Telerik 的最新可用软件更新。Progress Telerik明确表示,修复之前报告的三个漏洞的唯一方法是更新到最新可用版本 (10.1.24.514)。
对于身份验证绕过漏洞 (CVE-2024-4358),Progress Telerik 发布了临时缓解措施。此缓解措施涉及在 IIS 中应用 URL 重写规则以拒绝访问易受攻击的“启动/注册”路径。
比利时网络安全中心敦促各组织加强监控和检测能力,以警惕与这些漏洞相关的任何恶意活动。还建议各组织检查 Progress Telerik 报告服务器中的用户列表,以确保没有添加未经授权的帐户,同时快速响应检测到的入侵。
发表评论
您还未登录,请先登录。
登录