BDU:2024-04405

Опубликовано: 25 апр. 2024

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Критический

Описание

Уязвимость метода Register программного средства сквозного управления отчётами Telerik Report Server связана с обходом аутентификации посредством спуфинга. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к ограниченным функциям

Вендор

Progress Software Corporation

Наименование ПО

Telerik Report Server

Версия ПО

до 2024 Q1 (10.0.24.305) включительно (Telerik Report Server)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

https://docs.telerik.com/report-server/knowledge-base/registration-auth-bypass-cve-2024-4358

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%

0.94344

Критический

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2024-4358

CVSS3: 9.8

nvd

больше 1 года назад

In Progress Telerik Report Server, version 2024 Q1 (10.0.24.305) or earlier, on IIS, an unauthenticated attacker can gain access to Telerik Report Server restricted functionality via an authentication bypass vulnerability.

BDU:2024-02265

CVSS3: 9.9

fstec

почти 2 года назад

Уязвимость программного средства сквозного управления отчётами Telerik Report Server, связанная с недостатками механизма десериализации, позволяющая нарушителю выполнить произвольный код