CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2024-0832 – Privilege Elevation via Telerik Reporting Installer
https://notcve.org/view.php?id=CVE-2024-0832
In Telerik Reporting versions prior to 2024 R1, a privilege elevation vulnerability has been identified in the applications installer component. In an environment where an existing Telerik Reporting install is present, a lower privileged user has the ability to manipulate the installation package to elevate their privileges on the underlying operating system. En las versiones de Telerik Reporting anteriores a 2024 R1, se identificó una vulnerabilidad de elevación de privilegios en el componente del instalador de aplicaciones. En un entorno donde existe una instalación de Telerik Reporting, un usuario con privilegios bajos tiene la capacidad de manipular el paquete de instalación para elevar sus privilegios en el sistema operativo subyacente. • https://docs.telerik.com/reporting/knowledge-base/legacy-installer-vulnerability https://www.telerik.com/products/reporting.aspx • CWE-269: Improper Privilege Management •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2017-9140
https://notcve.org/view.php?id=CVE-2017-9140
Cross-site scripting (XSS) vulnerability in Telerik.ReportViewer.WebForms.dll in Telerik Reporting for ASP.NET WebForms Report Viewer control before R1 2017 SP2 (11.0.17.406) allows remote attackers to inject arbitrary web script or HTML via the bgColor parameter to Telerik.ReportViewer.axd. Fue encontrada una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el archivo Telerik.ReportViewer.WebForms.dll en Telerik Reporting para el control Report Viewer de ASP.NET WebForms anterior a R1 2017 SP2 versión (11.0.17.406) permite a los atacantes remotos inyectar un script web o HTML arbitrario por medio del parámetro bgColor hacia Telerik.ReportViewer.axd. • http://www.telerik.com/support/whats-new/reporting/release-history/telerik-reporting-r1-2017-sp2-%28version-11-0-17-406%29 https://knowledgebase.progress.com/articles/Article/Security-Advisory-for-Resolving-Security-vulnerabilities-September-2018 https://www.veracode.com/blog/research/anatomy-cross-site-scripting-flaw-telerik-reporting-module • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •