← volver
CVE-2017-9248

CVE-2017-9248

CVSS 9.8 CRITICALEPSS 75.1%● KEVCWE-522
En resumen

Una falla de seguridad en Telerik UI for ASP.NET AJAX deja las claves de cifrado sin protección adecuada, permitiendo que atacantes roben credenciales importantes e inyecten código malicioso o carguen archivos peligrosos en servidores web.

Detalle técnico

CVE-2017-9248 involucra protección insuficiente de Telerik.Web.UI.DialogParametersEncryptionKey y MachineKey en versiones afectadas, permitiendo que atacantes remotos descifren material sensible y comprometan mecanismos criptográficos. La explotación puede resultar en exposición de MachineKey, operaciones arbitrarias de archivos, XSS o manipulación de ViewState sin requisitos de autenticación.

Resumen generado y traducido por IA a partir de la descripción oficial.
Telerik.Web.UI.dll in Progress Telerik UI for ASP.NET AJAX before R2 2017 SP1 and Sitefinity before 10.0.6412.0 does not properly protect Telerik.Web.UI.DialogParametersEncryptionKey or the MachineKey, which makes it easier for remote attackers to defeat cryptographic protection mechanisms, leading to a MachineKey leak, arbitrary file uploads or downloads, XSS, or ASP.NET ViewState compromise.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a
PoCs públicas encontradas9
githubgithub.com/bao7uo/dp_crypto177githubgithub.com/capt-meelo/Telewreck97githubgithub.com/blacklanternsecurity/dp_cryptomg60githubgithub.com/0xsharz/telerik-scanner-cve-2017-92482githubgithub.com/ictnamanh/CVE-2017-92480githubgithub.com/oldboysonnt/dp0githubgithub.com/cehamod/UI_CVE-2017-92480exploitdbwww.exploit-db.com/exploits/43873no verificadocve_referencewww.exploit-db.com/exploits/43873/no verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2017-9248https://www.exploit-db.com/exploits/43873/http://www.securityfocus.com/bid/99965http://www.telerik.com/blogs/security-alert-for-telerik-ui-for-asp.net-ajax-and-progress-sitefinityhttp://www.telerik.com/support/kb/aspnet-ajax/details/cryptographic-weakness