摘要
当 Microsoft SQL Server Reporting Services 不正确地处理页面请求时,其中存在远程执行代码漏洞。 成功利用此漏洞的攻击者可以在报表服务器服务帐户的上下文中执行代码。 用于大型 PBIX 文件请求的内部 API 允许有文件路径属性。 报告服务进程可能会尝试将临时文件写入远程路径。 如果 NTLM 哈希在目标计算机上被破坏,攻击者可能会获取报表服务器进程的凭据。 如要了解有关此漏洞的更多信息,请参阅 CVE-2021-26859。
Power BI 报表服务器在此安全更新中更新为以下版本。
产品名称 |
产品版本 |
文件版本 |
---|---|---|
Power BI Report Server |
15.0.1104.310 |
1.9.7709.41358 |
如何获取和安装更新
可从 Microsoft 下载中心下载此更新:
发布日期:2021 年 3 月 9 日
先决条件
要应用此更新,必须安装任意版本的 Power BI 报表服务器( 2020 年 10 月)。