Synthese
In Progress Telerik-Produkten wurden zwei Sicherheitslücken entdeckt, eine davon mit „kritischem“ Schweregrad. Wenn diese Sicherheitslücken ausgenutzt werden, kann ein Angreifer über das Netzwerk beliebigen Code auf dem Zielsystem ausführen.
Risiko
Geschätzte Auswirkung der Schwachstelle auf die Referenzgemeinschaft: MITTEL/GELB (62,43/100)1.
Typologie
- Remote Code Execution
Betroffene Produkte und Versionen
Progress Telerik
- Report Server, Versionen vor 2024 Q2 (10.1.24.709)
- Reporting, Versionen vor 2024 Q2 (18.1.24.709)
Schadensbegrenzungsmaßnahmen
In Übereinstimmung mit den Aussagen des Anbieters wird empfohlen, anfällige Produkte gemäß den Hinweisen in den im Abschnitt „Referenzen“ aufgeführten Sicherheitsbulletins zu aktualisieren.
Eindeutige Schwachstellenkennungen
Verweise
https://docs.telerik.com/report-server/knowledge-base/deserialization-vulnerability-cve-2024-6327
https://docs.telerik.com/reporting/knowledge-base/unsafe-reflection-cve-2024-6096
1Diese Schätzung erfolgt unter Berücksichtigung verschiedener Parameter, darunter: CVSS, Verfügbarkeit von Patches/Workarounds und PoC, Verbreitung der betroffenen Software/Geräte in der Referenz-Community.
