Alert!

Progress Telerik: hochriskante Lücken erlauben Code- und Befehlsschmuggel

In Progress Telerik UI for WPF und WinForms können Angreifer aufgrund von Sicherheitslücken Schadcode und Befehle einschmuggeln.

(Bild: Shutterstock)

26.09.2024, 08:59 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

In der Entwicklungssoftware Progress Telerik UI for WPF und WinForms stopfen Updates Sicherheitslücken. Angreifer können dadurch Schadcode oder Befehle einschleusen und ausführen. IT-Verantwortliche sollten die Updates zeitnah installieren.

Vor insgesamt vier Sicherheitslücken warnt Progress Telerik. Drei betreffen Progress Telerik UI for WPF und eine Progress Telerik UI for WinForms. Sie sind allesamt als hohes Risiko eingestuft.

Mehrere Progress-Telerik-Komponenten betroffen

Die Sicherheitsmitteilungen gehen nicht auf die Details der Schwachstellen ein. Dadurch bleibt unklar, wie Angriffe aussehen würden und wie die sich erkennen lassen. In Progress Telerik UI for WPF finden sich demnach jedoch zwei Schwachstellen aufgrund unsicherer Deserialisierung von Daten. Das ermöglicht Angreifern, Schadcode einzuschleusen. Betroffen sind offenbar die Funktionen für RadDiagram und RichTextBox.

Zudem können Angreifer in Telerik UI for WPF und WinForms Befehle einschmuggeln. Ursache ist eine nicht näher erläuterte, unzureichende Filterung von Hyperlink-Elementen.

Betroffen sind Progress Telerik UI for WPF und WinForms bis einschließlich Version 2024 Q3 (2024.3.806). Die sicherheitsrelevanten Fehler korrigieren die Fassungen ab 2024 Q3 (2024.3.924) und neuere. Diese stehen in dem eigenen Konto unter "Product Downloads" zum Herunterladen bereit.

Die Liste der einzelnen Sicherheitsmitteilungen:

Telerik UI for WPF Unsafe Deserialization Vulnerability, CVE-2024-8316, CVSS 7.8, Risiko "hoch"
Telerik UI for WPF Unsafe Deserialization Vulnerability CVE-2024-7576, CVSS 7.8, hoch
Telerik UI for WPF Command Injection Vulnerability CVE-2024-7575, CVSS 7.8, hoch
Telerik UI for WinForms Command Injection Vulnerability CVE-2024-7679, CVSS 7.8, hoch

Lesen Sie auch

CISA warnt: Angriffe auf kritische Lücke in Progress Telerik Report Server

Schwachstellen in Progress Telerik-Software sind auch im Visier von Cyberkriminellen. Im Juni hat die CISA etwa vor Angriffen in freier Wildbahn auf Sicherheitslecks in Progress Telerik Report Server gewarnt.