Progress Software CorporationのTelerik UI for ASP.NET AJAXにおける信頼できないデータのデシリアライゼーションに関する脆弱性
| Title |
Progress Software CorporationのTelerik UI for ASP.NET AJAXにおける信頼できないデータのデシリアライゼーションに関する脆弱性
|
| Summary |
進行中のTelerik UI for AJAXのバージョン2024.4.1114から2026.1.421において、RadFilterコントロールにはフィルタ状態の復元時に不正な逆シリアル化の脆弱性があります。もし状態がクライアントに露出している場合、攻撃者がこの状態を改ざんすることでサーバー側でリモートコードを実行できる可能性があります。
|
| Possible impacts |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 22, 2026, midnight |
| Registration Date |
May 7, 2026, 10:51 a.m. |
| Last Update |
May 7, 2026, 10:51 a.m. |
|
CVSS3.0 : 緊急
|
| Score |
9.8
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Affected System
| Progress Software Corporation |
|
Telerik UI for ASP.NET AJAX 2024.4.1114 以上 2026.1.421 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年05月07日]
掲載 |
May 7, 2026, 10:51 a.m. |
NVD Vulnerability Information
CVE-2026-6023
| Summary |
In Progress® Telerik® UI for AJAX versions 2024.4.1114 through 2026.1.421, the RadFilter control is vulnerable to insecure deserialization when restoring filter state if the state is exposed to the client. If an attacker tampers with this state, a server-side remote code execution is possible.
|
| Publication Date |
April 22, 2026, 5:16 p.m. |
| Registration Date |
April 25, 2026, 4:04 a.m. |
| Last Update |
April 23, 2026, 6:23 a.m. |
Related information, measures and tools
Common Vulnerabilities List