Critical Flaws in Progress Telerik Reporting Tools Put Organizations at Risk of Remote Takeover
2024/07/24 SecurityOnline — Progress の Telerik Report Server/Telerik Reporting に存在する脆弱性は、システムの完全な侵害につながりかねない深刻なものだと、同社は警告している。これらの脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上のリモート・コード実行や、悪意のオブジェクトの注入などを可能にする。
Telerik Report Server の脆弱性:CVE-2024-6327
1つ目の脆弱性 CVE-2024-6327 は、ビジネス・レポート管理のための人気のソリューションである、Telerik Report Server に存在する。特別に細工したデータをサーバに送信し、信頼できない入力に対するデシリアライズをトリガーすることで、この脆弱性の悪用を攻撃者は達成する。悪用に成功した攻撃者は、アプリケーションと同じレベルでサーバを制御できるようになる。
この脆弱性 CVE-2024-6327 は 、Critical (CVSS:9.9) と評価されているため、このソフトウェアを使用している組織には早急な対応が求められる。
一時的な回避策が利用可能
この脆弱性は、Report Server の最新バージョン (2024 Q2) で修正されているが、Progress は一時的な緩和策も提供している。そこに含まれるのは、Report Server Application Pool に関連付けられたユーザー・アカウントを、制限された権限を持つ者へと変更することである。
Telerik Reporting の脆弱性:CVE-2024-6096
2つ目の脆弱性 CVE-2024-6096 は、Report Server などの製品で使用されている、基盤となるエンジン Telerik Reporting に影響を及ぼすものだ。この脆弱性は、深刻度 High と評価され、安全でないタイプ解決によりオブジェクト・インジェクションを引き起こすとされる。前述の CVE-2024-6327 ほど深刻ではないが、攻撃者によるアプリケーションの操作を許すという意味で、重大なリスクであることに変わりはない。
今すぐパッチを!
すでに Progress は、Telerik Report Server 2024 Q2 (10.1.24.709) /Telerik Reporting 2024 Q2 (18.1.24.709) のアップデートをリリースしている。すべてのユーザーに対して強く推奨されるのは、これらのバージョン以降へと、ただちにアップデートすることだ。
Progress Telerik に深刻な脆弱性が発生しています。脆弱性 CVE-2024-6327 の CVSS 値は 9.9 であり、Critical と評価されています。サーバの制御が奪われる可能性もあるとのことなので、ご利用のチームは、ご注意ください。よろしければ、Telerik で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.