SK-CERT Bezpečnostné varovanie V20240731-04

Dôležitosť Kritická
Klasifikácia Neutajované/TLP:CLEAR
CVSS Skóre
9.8
Identifikátor
Telerik Report Server a Telerik Reporting – dve kritické bezpečnostné zraniteľnosti
Popis
Spoločnosť Telerik vydala bezpečnostné aktualizácie na produkty Telerik Report Server a Telerik Reporting, ktoré opravujú dve kritické bezpečnostné zraniteľnosti.
Najzávažnejšia kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-6327 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorenej požiadavky vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Zneužitím ostatných bezpečnostných zraniteľností možno vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Dátum prvého zverejnenia varovania
26.7.2024
CVE
CVE-2024-6327, CVE-2024-6096
IOC
Zasiahnuté systémy
Telerik Report Server vo verzii staršej ako 10.1.24.709
Telerik Reporting vo verzii staršej ako 18.1.24.709
Následky
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému
Odporúčania
Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
V prípade, že aktualizácia systému nie je možná, odporúčame postupovať podľa pokynov výrobcu uvedených na odkazoch v sekcii ZDROJE.
Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom alebo vzdialené vykonanie kódu, je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Zdroje
https://medium.com/aardvark-infinity/cve-2024-6327-vulnerability-in-telerik-report-server-8e32d61943e1
https://www.tenable.com/cve/CVE-2024-6327
https://www.tenable.com/cve/CVE-2024-6096
https://docs.telerik.com/reporting/knowledge-base/unsafe-reflection-cve-2024-6096
https://docs.telerik.com/report-server/knowledge-base/deserialization-vulnerability-cve-2024-6327

« Späť na zoznam