Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Nueva vulnerabilidad en Telerik Reporting de Progress Software

Fecha de publicación 03/06/2024
Identificador
INCIBE-2024-0291
Importancia
5 - Crítica
Recursos Afectados
  • Telerik Report Server: versiones 2024 Q1 (10.0.24.305) y anteriores.
Descripción

Sina Kheirkhah del equipo Summoning trabajando con Trend Micro Zero Day Initiative, ha reportado una vulnerabilidad, de severidad crítica, cuya explotación permitiría a un atacante acceder sin autorización al sistema.

Solución
  • Telerik Report Server: actualizar a las versiones 2024 Q2 o posteriores.
Detalle

La vulnerabilidad CVE-2024-4358, se debe a un fallo en la implementación del método de registro. Al no validar el estado de instalación, un atacante podría saltarse la autenticación en el sistema, lo que le permitiría ganar acceso a funciones restringidas.