Synthèse
Deux failles de sécurité détectées, dont une de gravité « critique », dans les produits Progress Telerik. Ces vulnérabilités, si elles sont exploitées, pourraient permettre à un attaquant distant d’exécuter du code arbitraire sur le système cible.
Risque
Impact estimé de la vulnérabilité sur la communauté de référence : MOYEN/JAUNE (62,43/100)1.
Typologie
- Remote Code Execution
Produits et versions concernés
Progrès Telerik
- Report Server, versions antérieures au deuxième trimestre 2024 (10.1.24.709)
- Reporting, versions antérieures au 2ème trimestre 2024 (18.1.24.709)
Mesures d’atténuation
Conformément aux déclarations de l’éditeur, il est recommandé de mettre à jour les produits vulnérables en suivant les indications des bulletins de sécurité rapportés dans la section Références.
Identificateurs de vulnérabilité uniques
Références
https://docs.telerik.com/report-server/knowledge-base/deserialization-vulnerability-cve-2024-6327
https://docs.telerik.com/reporting/knowledge-base/unsafe-reflection-cve-2024-6096
1Cette estimation est réalisée en tenant compte de différents paramètres, parmi lesquels : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils concernés dans la communauté de référence.
