Найдены и устранены две критические уязвимости в Telerik Report Server

Специалисты по безопасности недавно обнаружили две серьёзные уязвимости в программном продукте Telerik Report Server, который используется многими организациями для работы с отчётами. Эти уязвимости могли позволить хакерам легко получить доступ к корпоративным сетям.

Первая проблема связана с тем, что злоумышленники могли обходить систему защиты и создавать административные учётные записи, минуя стандартные проверки безопасности. Эта уязвимость получила код CVE-2024-4358 и оценку риска 9.8 из 10, что указывает на её высокую опасность.

Вторая уязвимость, обозначенная кодом CVE-2024-1800 и оценкой риска 8.8, позволяла злоумышленникам выполнять свои коды на серверах, посылая туда специально сформированный XML-пакет. Это могло привести к серьёзным последствиям, например, к запуску нежелательных программ.

Компания Progress Software, разработчик Telerik Report Server, быстро отреагировала на эти угрозы. Они выпустили необходимые обновления безопасности в марте и мае 2024 года, которые устранили обе уязвимости.

Теперь пользователям этого программного обеспечения важно установить эти обновления, чтобы защитить свои данные и системы от потенциальных атак. Также рекомендуется проверить систему на наличие необычных или новых учётных записей, которые могли быть созданы через уязвимость в системе аутентификации.