Sažetak
Ako neispravno rukuje zahtjevima za stranicu, u programu Microsoft SQL Server Reporting Services postoji ranjivost za daljinsko izvršavanje koda. Napadač koji uspješno iskorištava tu ranjivost može izvršiti kod u kontekstu računa servisa za izvješće poslužitelja izvješća. Interni API koji se koristi za velike zahtjeve za datoteke PBIX omogućuje svojstvo put datoteke. Postupak izvješćivanja servisa može pokušati zapisati privremenu datoteku na udaljeni put. Ako se na ciljnom računalu razbije NTLM raspršivanje, napadač može nabaviti vjerodajnice za proces poslužitelja izvješća. Dodatne informacije o ranjivosti potražite u članku CVE-2021-26859.
Poslužitelj za izvješće dodatka Power BI ažuriran je na sljedeće verzije u ovom sigurnosnom ažuriranju.
Naziv proizvoda |
Verzija proizvoda |
Verzija datoteke |
---|---|---|
Poslužitelj za izvješće dodatka Power BI |
15.0.1104.310 |
1.9.7709.41358 |
Dohvaćanje i instalacija ažuriranja
Ovo je ažuriranje dostupno za preuzimanje iz Microsoftova centra za preuzimanje:
Datum izdavanja: 9. Ožujak 2021
Preduvjeti
Da biste primijenili ovo ažuriranje, morate imati instaliranu bilo koju verziju poslužitelja za izvješće dodatka Power BI (Listopad 2020).