Progress Software exhorte les utilisateurs à mettre à jour leurs instances Telerik Report Server suite à la découverte d’une faille de sécurité critique pouvant entraîner l’exécution de code à distance.
La vulnérabilité, suivie comme CVE-2024-6327 (Score CVSS : 9,9), impacte la version 2024 Q2 de Report Server (10.1.24.514) et les versions antérieures.
« Dans les versions de Progress Telerik Report Server antérieures au deuxième trimestre 2024 (10.1.24.709), une attaque d’exécution de code à distance est possible via une vulnérabilité de désérialisation non sécurisée », a déclaré la société dit dans un avis consultatif.
Défauts de désérialisation se produit lorsqu’une application reconstruit les données non fiables qu’un attaquant contrôle sans validation adéquate en place, ce qui entraîne l’exécution de commandes non autorisées.
Progress Software a indiqué que la faille a été corrigée dans la version 10.1.24.709. Pour atténuer temporairement ce problème, il est recommandé de modifier l’utilisateur du pool d’applications Report Server en un utilisateur disposant d’autorisations limitées.
Les administrateurs peuvent vérifier si leurs serveurs sont vulnérables aux attaques en suivant ces étapes :
- Accédez à l’interface Web du serveur de rapports et connectez-vous à l’aide d’un compte disposant de droits d’administrateur.
- Ouvrez la page de configuration (~/Configuration/Index).
- Sélectionnez l’onglet À propos et le numéro de version s’affichera dans le volet de droite.
Cette divulgation intervient près de deux mois après que la société a corrigé une autre faille critique dans le même logiciel (CVE-2024-4358, score CVSS : 9,8) qui pourrait être exploitée par un attaquant distant pour contourner l’authentification et créer des utilisateurs administrateurs malveillants.