2024.3.924 より前の Telerik UI for WPF の複数の脆弱性

critical Nessus プラグイン ID 208194

概要

リモートの Windows ホストにインストールされている Web アプリケーション開発スイートは、複数の脆弱性の影響を受けます。

説明

リモートの Windows ホストにインストールされている Progress Telerik UI for WPF のバージョンは、2024 Q3 より前です (2024.3.924)。そのため、以下の複数の脆弱性の影響を受けます。

- ハイパーリンク要素の不適切な無力化により、コマンドインジェクション攻撃が可能です。(CVE-2024-7575)

- 安全でない逆シリアル化の脆弱性により、コード実行攻撃が可能です。
(CVE-2024-7576、CVE-2024-8316)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Telerik UI for WPF バージョン 2024.3.924 以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?3d3f6592

http://www.nessus.org/u?6e9c5a3f

http://www.nessus.org/u?64d6e650

プラグインの詳細

深刻度: Critical

ID: 208194

ファイル名: telerik_ui_for_wpf_2024_3_821.nasl

バージョン: 1.3

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2024/10/4

更新日: 2024/11/22

設定: 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-7576

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: x-cpe:/a:telerik:ui_for_wpf

必要な KB アイテム: installed_sw/Progress Telerik UI for WPF

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/9/25

脆弱性公開日: 2024/9/25

参照情報

CVE: CVE-2024-7575, CVE-2024-7576, CVE-2024-8316

IAVB: 2024-B-0147-S