Progress Software 敦促用户在发现可能导致远程代码执行的关键安全漏洞后更新其 Telerik Report Server 实例。

该漏洞被跟踪为 CVE-2024-6327（CVSS 评分：9.9），会影响 Report Server 版本 2024 Q2 （10.1.24.514） 及更早版本。

该公司在一份公告中表示：“在 2024 年第二季度 （10.1.24.709） 之前的 Telerik Report Server 版本中，可能会通过不安全的反序列化漏洞进行远程代码执行攻击。”

当应用程序在未进行充分验证的情况下重建攻击者可以控制的不受信任的数据时，就会发生反序列化缺陷，从而导致执行未经授权的命令。

Progress Software表示，该漏洞已在10.1.24.709版本中得到解决。作为临时缓解措施，建议将报表服务器应用程序池的用户更改为具有有限权限的用户。

管理员可以通过以下步骤检查他们的服务器是否容易受到攻击 –

• 转到报表服务器 Web UI，然后使用具有管理员权限的帐户登录
• 打开“配置”页面 （~/Configuration/Index）。
• 选择“关于”选项卡，版本号将显示在右侧窗格中。

近两个月前，该公司修补了同一软件中的另一个关键缺陷（CVE-2024-4358，CVSS 评分：9.8），该漏洞可能被远程攻击者滥用以绕过身份验证并创建流氓管理员用户。

6 月 13 日，美国网络安全和基础设施安全局 （CISA） 将该漏洞添加到其已知利用漏洞 （KEV） 目录中，此前有报道称在野外存在活跃的利用利用。