Riepilogo
Se Reporting Services gestisce in modo errato le richieste di pagina Microsoft SQL Server, in Reporting Services esiste una vulnerabilità di esecuzione di codice remoto. Un utente malintenzionato che sfrutta correttamente questa vulnerabilità potrebbe eseguire codice nel contesto dell'account del servizio Report Server. Un'API interna usata per richieste di file PBIX di grandi dimensioni consente una proprietà percorso file. Il processo di Reporting Services potrebbe provare a scrivere un file temporaneo in un percorso remoto. Se l'hash NTLM viene interrotto in un computer di destinazione, l'utente malintenzionato potrebbe ottenere le credenziali per il processo del server di report. Per altre informazioni sulla vulnerabilità, vedere CVE-2021-26859.
Il server di report di Power BI viene aggiornato alle build seguenti in questo aggiornamento della sicurezza.
Nome del prodotto |
Versione del prodotto |
Versione file |
---|---|---|
Power BI Report Server |
15.0.1103.241 |
1.8.7710.3956 |
Come ottenere e installare l'aggiornamento
Questo aggiornamento è disponibile per il download dall'Area download Microsoft:
Data di rilascio: 9 marzo 2021
Requisiti
Per applicare questo aggiornamento, è necessario che sia installata qualsiasi versione del server di report di Power BI (maggio 2020).