PT-2024-7989 · Progress · Telerik Reporting
Markus Wulftange
·
Publicado
2024-08-21
·
Atualizado
2024-10-15
·
CVE-2024-8048
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Progress Telerik Reporting anteriores ao terceiro trimestre de 2024 (18.2.24.924)
Descrição
O problema está relacionado à avaliação insegura de expressões, permitindo a injeção de objetos e levando potencialmente a ataques de execução de código. Isso pode ser explorado fornecendo uma entrada que permita o controle externo sobre a seleção de classes, o que pode permitir que um invasor execute código arbitrário.
Recomendações
Para versões anteriores ao 3º trimestre de 2024 (18.2.24.924), atualize para a versão 3º trimestre de 2024 (18.2.24.924) ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da avaliação de expressões inseguras até que um patch seja aplicado. Evite usar funções ou parâmetros vulneráveis que possam facilitar ataques de injeção de objetos.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Telerik Reporting