製品・ソフトウェアに関する情報
Vulnerability Search
Telerik UI for ASP.NET AJAX における信頼性のないデータのデシリアライゼーションに関する脆弱性
Title Telerik UI for ASP.NET AJAX における信頼性のないデータのデシリアライゼーションに関する脆弱性
Summary

Telerik UI for ASP.NET AJAX には、信頼性のないデータのデシリアライゼーションに関する脆弱性が存在します。

Possible impacts 情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date Dec. 9, 2019, midnight
Registration Date Dec. 25, 2019, 3:57 p.m.
Last Update March 29, 2021, 5:06 p.m.
CVSS3.0 : 緊急
Score 9.8
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVSS2.0 : 危険
Score 7.5
Vector AV:N/AC:L/Au:N/C:P/I:P/A:P
Affected System
Telerik
Telerik UI for ASP.NET AJAX 2019.3.1023 まで
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
2 [2021年03月22日]
  参考情報:JVN (JVNVU#96655623) を追加		 March 22, 2021, 12:06 p.m.
1 [2019年12月25日]
  掲載		 Dec. 25, 2019, 3:57 p.m.
3 [2021年03月29日]
  参考情報:ICS-CERT ADVISORY (ICSA-21-077-03) を追加		 March 29, 2021, 4:09 p.m.
NVD Vulnerability Information
CVE-2019-18935
Summary

Progress Telerik UI for ASP.NET AJAX through 2019.3.1023 contains a .NET deserialization vulnerability in the RadAsyncUpload function. This is exploitable when the encryption keys are known due to the presence of CVE-2017-11317 or CVE-2017-11357, or other means. Exploitation can result in remote code execution. (As of 2020.1.114, a default setting prevents the exploit. In 2019.3.1023, but not earlier versions, a non-default setting can prevent exploitation.)

Publication Date Dec. 11, 2019, 10:15 p.m.
Registration Date Jan. 26, 2021, 11:40 a.m.
Last Update Nov. 21, 2024, 1:33 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:telerik:ui_for_asp.net_ajax:*:*:*:*:*:*:*:* 2011.1.315 2020.1.114
Related information, measures and tools
Common Vulnerabilities List