PT-2021-5124 · Microsoft · Power Bi Report Server
Emanuele Barbeno
·
Publicado
2021-11-09
·
Atualizado
2026-02-24
·
CVE-2021-41372
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:M/Au:N/C:C/I:P/A:N |
Nome do software vulnerável e versões afetadas
Power BI Report Server (versões afetadas não especificadas)
Descrição
O problema está relacionado a erros na representação de informações pela interface do usuário. Trata-se de uma vulnerabilidade de Cross-Site Scripting (XSS) e Cross-Site Request Forgery (CSRF) que ocorre quando um arquivo de modelo do Power BI Report Server (pbix) contendo arquivos HTML é carregado no servidor e os arquivos HTML são acessados diretamente pela vítima. Isso permite que um invasor envie arquivos de modelo do Power BI maliciosos para o servidor usando a sessão da vítima, execute scripts no contexto de segurança do usuário e, potencialmente, execute escalonamento de privilégios se a vítima tiver privilégios de administrador. A atualização de segurança corrige o problema, garantindo que o Power BI Report Server sanitize adequadamente os envios de arquivos.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
LPE
Spoofing
XSS
UI Misrepresentation of Critical Information
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Power Bi Report Server