Resumo
Existe uma vulnerabilidade de execução remota de código no Microsoft SQL Server Reporting Services quando ele manipula solicitações de página incorretamente. Um invasor que conseguir explorar essa vulnerabilidade poderá executar código no contexto da conta de serviço do Report Server. Uma API interna usada para grandes solicitações de arquivo PBIX permite uma propriedade de caminho de arquivo. O processo de serviços de relatório pode tentar gravar um arquivo temporário em um caminho remoto. Se o hash NTLM for quebrado em um computador de destino, o invasor poderá obter as credenciais para o processo do servidor de relatório. Para saber mais sobre a vulnerabilidade, consulte CVE-2021-26859.
O Servidor de Relatório do Power BI é atualizado para as seguintes builds nesta atualização de segurança.
Nome do produto |
Versão do produto |
Versão do arquivo |
---|---|---|
Servidor de Relatório do Power BI |
15.0.1103.241 |
1.8.7710.3956 |
Como obter e instalar a atualização
A atualização está disponível para download no Centro de Download da Microsoft:
Data do lançamento: 9 de março de 2021
Pré-requisitos
Para aplicar essa atualização, você deve ter qualquer versão do Power BI Report Server (maio de 2020) instalada.