Telerik Report Server

Die Schwachstelle betrifft den Telerik Report Server von Progress, eine serverseitige Anwendung zur Verwaltung und Bereitstellung von Berichten, die unter dem Webserver IIS betrieben wird. Es handelt sich um eine Umgehung der Authentifizierung durch Vortäuschen (Spoofing): Ein Angreifer kann sich gegenüber dem Server als berechtigt ausgeben, ohne über gültige Zugangsdaten zu verfügen. Auf diese Weise gelangt ein nicht angemeldeter Angreifer aus der Ferne an Funktionen des Report Servers, die eigentlich nur authentifizierten und autorisierten Nutzern vorbehalten sind. Da weder eine Anmeldung noch eine Benutzerinteraktion erforderlich ist, lässt sich der eingeschränkte, geschützte Bereich der Anwendung unmittelbar erreichen, sobald der Server über das Netzwerk zugänglich ist. Betroffen sind Installationen, die den Report Server selbst unter IIS bereitstellen; dort öffnet die Lücke einen direkten Weg zu Verwaltungs- und Berichtsfunktionen, die ohne diesen Defekt nicht ohne weiteres zugänglich wären.