Progress Telerik: hochriskante Lücken erlauben Code- und Befehlsschmuggel
In Progress Telerik UI for WPF und WinForms können Angreifer aufgrund von Sicherheitslücken Schadcode und Befehle einschmuggeln.
(Bild: Shutterstock)
In der Entwicklungssoftware Progress Telerik UI for WPF und WinForms stopfen Updates Sicherheitslücken. Angreifer können dadurch Schadcode oder Befehle einschleusen und ausführen. IT-Verantwortliche sollten die Updates zeitnah installieren.
Vor insgesamt vier Sicherheitslücken warnt Progress Telerik. Drei betreffen Progress Telerik UI for WPF und eine Progress Telerik UI for WinForms. Sie sind allesamt als hohes Risiko eingestuft.
Mehrere Progress-Telerik-Komponenten betroffen
Die Sicherheitsmitteilungen gehen nicht auf die Details der Schwachstellen ein. Dadurch bleibt unklar, wie Angriffe aussehen würden und wie die sich erkennen lassen. In Progress Telerik UI for WPF finden sich demnach jedoch zwei Schwachstellen aufgrund unsicherer Deserialisierung von Daten. Das ermöglicht Angreifern, Schadcode einzuschleusen. Betroffen sind offenbar die Funktionen für RadDiagram und RichTextBox.
Zudem können Angreifer in Telerik UI for WPF und WinForms Befehle einschmuggeln. Ursache ist eine nicht näher erläuterte, unzureichende Filterung von Hyperlink-Elementen.
Betroffen sind Progress Telerik UI for WPF und WinForms bis einschließlich Version 2024 Q3 (2024.3.806). Die sicherheitsrelevanten Fehler korrigieren die Fassungen ab 2024 Q3 (2024.3.924) und neuere. Diese stehen in dem eigenen Konto unter "Product Downloads" zum Herunterladen bereit.
Die Liste der einzelnen Sicherheitsmitteilungen:
- Telerik UI for WPF Unsafe Deserialization Vulnerability, CVE-2024-8316, CVSS 7.8, Risiko "hoch"
- Telerik UI for WPF Unsafe Deserialization Vulnerability CVE-2024-7576, CVSS 7.8, hoch
- Telerik UI for WPF Command Injection Vulnerability CVE-2024-7575, CVSS 7.8, hoch
- Telerik UI for WinForms Command Injection Vulnerability CVE-2024-7679, CVSS 7.8, hoch
Schwachstellen in Progress Telerik-Software sind auch im Visier von Cyberkriminellen. Im Juni hat die CISA etwa vor Angriffen in freier Wildbahn auf Sicherheitslecks in Progress Telerik Report Server gewarnt.
(dmk)