Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-04399

Опубликовано: 03 июл. 2017
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Высокий

Описание

Уязвимость библиотеки Telerik.Web.UI.dll программного средства Telerik UI для ASP.NET AJAX и системы управления веб-контентом Sitefinity связана с недостаточной защитой регистрационных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть ключи шифрования (Telerik.Web.UI.DialogParametersEncryptionKey и/или MachineKey)

Вендор

Telerik AD

Наименование ПО

Telerik UI
Sitefinity

Версия ПО

до 2017.2.503 включительно (Telerik UI)
до 10.0.6401.0 включительно (Sitefinity)

Тип ПО

Прикладное ПО информационных систем
Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.telerik.com/support/kb/aspnet-ajax/details/cryptographic-weakness

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.87802
Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2017-9248

CVSS3: 9.8
nvd
больше 8 лет назад

Telerik.Web.UI.dll in Progress Telerik UI for ASP.NET AJAX before R2 2017 SP1 and Sitefinity before 10.0.6412.0 does not properly protect Telerik.Web.UI.DialogParametersEncryptionKey or the MachineKey, which makes it easier for remote attackers to defeat cryptographic protection mechanisms, leading to a MachineKey leak, arbitrary file uploads or downloads, XSS, or ASP.NET ViewState compromise.

github логотип

GHSA-mfqq-q5rf-3hvq

CVSS3: 9.8
github
больше 3 лет назад

Telerik.Web.UI.dll in Progress Telerik UI for ASP.NET AJAX before R2 2017 SP1 and Sitefinity before 10.0.6412.0 does not properly protect Telerik.Web.UI.DialogParametersEncryptionKey or the MachineKey, which makes it easier for remote attackers to defeat cryptographic protection mechanisms, leading to a MachineKey leak, arbitrary file uploads or downloads, XSS, or ASP.NET ViewState compromise.

EPSS

Процентиль: 99%
0.87802
Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2