【漏洞预警】Progress Telerik Report Server身份验证绕过漏洞（CVE-2024-4358）

cexlife 飓风网络安全 2024-06-05 18:38

漏洞描述:Progress Software的Telerik Report Server是一款功能强大的报表服务器解决方案,具备全面的报告管理功能,可帮助组织创建、部署、交付和管理报告,近日监测到Progress Telerik Report Server身份验证绕过漏洞（CVE-2024-4358)的技术细节及PoC在互联网上公开,威胁者可组合利用CVE-2024-4358和CVE-2024-1800实现远程代码执行,详情如下:CVE-2024-4358：Progress Telerik Report Server身份验证绕过漏洞IIS上的Progress Telerik Report Server 2024 Q1 (10.0.24.305) 及之前版本在Register方法的实现中存在身份验证绕过漏洞,由于缺少对当前安装步骤的验证,可能导致远程威胁者绕过身份验证访问Telerik Report Server 受限功能,未授权创建管理员帐户。CVE-2024-1800：Progress Telerik Report Server反序列化漏洞Progress Telerik Report Server 2024 Q1 (10.0.24.130)及之前版本在ObjectReader 类中存在反序列化漏洞，由于对用户提供的数据缺乏正确验证，经过身份验证的远程威胁者可利用该漏洞在受影响的 Progress Telerik Report Server 安装上执行任意代码。影响范围:CVE-2024-4358Progress Software Telerik Report Server<=2024 Q1 (10.0.24.305)CVE-2024-1800Progress Software Telerik Report Server<=2024 Q1 (10.0.24.130) 修复建议:升级版本目前这些漏洞已经修复,受影响用户可升级到以下版本:CVE-2024-4358Progress Software Telerik Report Server >= 2024 Q2 (10.1.24.514)CVE-2024-1800Progress Software Telerik Report Server >= 2024 Q1 (10.0.24.305)下载链接:https://www.telerik.com/report-server