Progress 软件公司发布了一份重要的安全公告，针对其功能强大的 Telerik Report Server 中新发现的四个漏洞，Telerik Report Server 是一种广泛用于将报表功能嵌入 Web、桌面和云应用程序的工具。这些漏洞从凭据填充和暴力攻击到关键代码执行缺陷，给使用该工具的企业带来了严重风险。

这些漏洞被识别为 CVE-2024-7292、CVE-2024-7293、CVE-2024-7294 和 CVE-2024-8015，影响 Telerik Report Server 2024 Q3 (10.2.24.924) 之前的版本。這些漏洞可讓攻擊者

执行凭证填充攻击： 利用缺乏登录尝试限制 (CVE-2024-7292)。
对用户密码进行暴力破解攻击： 由于密码要求较弱 (CVE-2024-7293)。
发起拒绝服务 (DoS) 攻击： 在没有速率限制的情况下针对匿名端点进行攻击 (CVE-2024-7294)。
在服务器上执行任意代码： 通过不安全的类型解析漏洞 (CVE-2024-8015)。
这些漏洞中最严重的 CVE-2024-8015 的 CVSS 得分为 9.1，攻击者可完全控制报告服务器。

Progress Software 已敦促所有用户立即将其 Report Server 部署更新到最新版本（10.2.24.924）。

Ezoic
對於無法立即更新至修補版本的用戶，Progress Software 建議採取以下臨時緩解措施，以應對 CVE-2024-8015：

将报告服务器的应用程序池用户更改为权限有限的用户。这将限制攻击者在成功利用该漏洞时可能造成的潜在破坏。有关如何实施此缓解措施的详细说明，请参阅 Progress 知识库文章 “How To Change IIS User for Report Server”。