SK-CERT Bezpečnostné varovanie V20200211-05

11. februára 2020

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP WHITE
CVSS Skóre	9.6

Identifikátor

Telerik UI for ASP.NET kritická zraniteľnosť

Popis

Vývojári Progress vydali bezpečnostnú aktualizáciu na svoj produkt Telerik UI, ktorá opravuje kritickú bezpečnostnú zraniteľnosť.
Bezpečnostná zraniteľnosť je spôsobená nesprávnou deserializáciou JSON objektov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zasielania špeciálne upravených súborov vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Uvedená zraniteľnosť je v súčasnosti aktívne zneužívaná útočníkmi.

Dátum prvého zverejnenia varovania

12.12.2019

CVE

CVE-2019-18935

CVE

–

Zasiahnuté systémy

Progress Telerik UI for ASP.NET AJAX verzie staršie ako 2020.1.114

Následky

Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania

Administrátorom odporúčame vykonať aktualizáciu zasiahnutých systémov.
Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.

Zdroje

https://www.telerik.com/support/kb/aspnet-ajax/details/allows-javascriptserializer-deserialization
https://github.com/noperator/CVE-2019-18935
https://know.bishopfox.com/research/cve-2019-18935-remote-code-execution-in-telerik-ui
https://www.cisecurity.org/advisory/a-vulnerability-in-telerik-ui-for-aspnet-could-allow-for-arbitrary-code-execution_2020-015/

« Späť na zoznam

SK-CERT Bezpečnostné varovanie V20200211-05

SK-CERT Bezpečnostné varovanie V20240419-04

SK-CERT Bezpečnostné varovanie V20240419-03

SK-CERT Bezpečnostné varovanie V20240419-02