CVE-2017-11357
CVE-2017-11357
Em resumo
Um recurso de upload de arquivo no Progress Telerik UI para ASP.NET AJAX não valida adequadamente a entrada do usuário, permitindo que atacantes façam upload de arquivos maliciosos ou executem código arbitrário no servidor.
Detalhe técnico
O CVE-2017-11357 afeta o RadAsyncUpload no Progress Telerik UI para ASP.NET AJAX em versões anteriores a R2 2017 SP2. A vulnerabilidade resulta da validação insuficiente de entrada em uploads de arquivo (CWE-434), permitindo que atacantes remotos contornem restrições de tipo de arquivo e façam upload de executáveis ou scripts que rodam com privilégios da aplicação. Nenhuma autenticação é necessária; a exploração pode resultar em comprometimento total do servidor.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Progress Telerik UI for ASP.NET AJAX before R2 2017 SP2 does not properly restrict user input to RadAsyncUpload, which allows remote attackers to perform arbitrary file uploads or execute arbitrary code.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 2
cve_referencewww.exploit-db.com/exploits/43874/não verificadoexploitdbwww.exploit-db.com/exploits/43874não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →