Progress Telerik Report Server身份验证绕过漏洞（CVE-2024-4358）

漏洞描述:
Progress Software的Telerik Report Server是一款功能强大的报表服务器解决方案,具备全面的报告管理功能,可帮助组织创建、部署、交付和管理报告,近日监测到Progress Telerik Report Server身份验证绕过漏洞（CVE-2024-4358)的技术细节及PoC在互联网上公开,威胁者可组合利用CVE-2024-4358和CVE-2024-1800实现远程代码执行,
详情如下:
CVE-2024-4358：Progress Telerik Report Server身份验证绕过漏洞

IIS上的Progress Telerik Report Server 2024 Q1 (10.0.24.305) 及之前版本在Register方法的实现中存在身份验证绕过漏洞,由于缺少对当前安装步骤的验证,可能导致远程威胁者绕过身份验证访问Telerik Report Server 受限功能,未授权创建管理员帐户。

CVE-2024-1800：Progress Telerik Report Server反序列化漏洞

Progress Telerik Report Server 2024 Q1 (10.0.24.130)及之前版本在ObjectReader 类中存在反序列化漏洞，由于对用户提供的数据缺乏正确验证，经过身份验证的远程威胁者可利用该漏洞在受影响的 Progress Telerik Report Server 安装上执行任意代码。

影响范围:
CVE-2024-4358

Progress Software Telerik Report Server<=2024 Q1 (10.0.24.305)

CVE-2024-1800

Progress Software Telerik Report Server<=2024 Q1 (10.0.24.130)

修复建议:
升级版本
目前这些漏洞已经修复,受影响用户可升级到以下版本:

CVE-2024-4358

Progress Software Telerik Report Server >= 2024 Q2 (10.1.24.514)

CVE-2024-1800

Progress Software Telerik Report Server >= 2024 Q1 (10.0.24.305)

下载链接:
https://www.telerik.com/report-server

原文始发于微信公众号（飓风网络安全）：【漏洞预警】Progress Telerik Report Server身份验证绕过漏洞（CVE-2024-4358）