← voltar
CVE-2017-9248

CVE-2017-9248

CVSS 9.8 CRITICALEPSS 75.1%● KEVCWE-522
Em resumo

Uma falha de segurança no Telerik UI for ASP.NET AJAX deixa chaves de criptografia desprotegidas, permitindo que atacantes roubem credenciais importantes e depois façam upload de arquivos maliciosos, roubem dados ou injetem código malicioso em páginas web.

Detalhe técnico

O CVE-2017-9248 envolve proteção inadequada da Telerik.Web.UI.DialogParametersEncryptionKey e MachineKey nas versões afetadas, permitindo que atacantes remotos descriptografem material sensível e comprometam mecanismos criptográficos. A exploração pode resultar em vazamento de MachineKey, operações arbitrárias em arquivos, XSS ou manipulação de ViewState sem exigir autenticação.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Telerik.Web.UI.dll in Progress Telerik UI for ASP.NET AJAX before R2 2017 SP1 and Sitefinity before 10.0.6412.0 does not properly protect Telerik.Web.UI.DialogParametersEncryptionKey or the MachineKey, which makes it easier for remote attackers to defeat cryptographic protection mechanisms, leading to a MachineKey leak, arbitrary file uploads or downloads, XSS, or ASP.NET ViewState compromise.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/a
PoCs públicas encontradas9
githubgithub.com/bao7uo/dp_crypto177githubgithub.com/capt-meelo/Telewreck97githubgithub.com/blacklanternsecurity/dp_cryptomg60githubgithub.com/0xsharz/telerik-scanner-cve-2017-92482githubgithub.com/ictnamanh/CVE-2017-92480githubgithub.com/oldboysonnt/dp0githubgithub.com/cehamod/UI_CVE-2017-92480exploitdbwww.exploit-db.com/exploits/43873não verificadocve_referencewww.exploit-db.com/exploits/43873/não verificado
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2017-9248https://www.exploit-db.com/exploits/43873/http://www.securityfocus.com/bid/99965http://www.telerik.com/blogs/security-alert-for-telerik-ui-for-asp.net-ajax-and-progress-sitefinityhttp://www.telerik.com/support/kb/aspnet-ajax/details/cryptographic-weakness