Resumen
Existe una vulnerabilidad de ejecución de código remoto en Microsoft SQL Server Reporting Services cuando este gestiona de manera incorrecta las solicitudes de páginas. Un atacante que consiga aprovechar esta vulnerabilidad podría ejecutar un código en el contexto de la cuenta de servicio de Report Server. Una API interna que se usa para solicitudes de archivo PBIX grandes permite una propiedad de ruta de acceso de archivo. El proceso de los servicios de informes puede tratar de escribir un archivo temporal en una ruta de acceso remota. Si el hash NTLM está roto en un equipo de destino, el atacante podría obtener las credenciales para el proceso del servidor de informes. Para obtener más información sobre la vulnerabilidad, consulte CVE-2021-26859.
Power BI Report Server se actualiza a las siguientes compilaciones con esta actualización de seguridad.
Nombre de producto |
Versión del producto |
Versión del archivo |
---|---|---|
Power BI Report Server |
15.0.1103.241 |
1.8.7710.3956 |
Obtener e instalar la actualización
La actualización está disponible para su descarga en el Centro de descarga de Microsoft.
Fecha de publicación: 9 de marzo de 2021
Requisitos previos
Para aplicar esta actualización, debe tener instalada cualquier versión de Power BI Report Server (mayo de 2020).