В пользовательском интерфейсе Progress® Telerik® для AJAX версий до 2026.1.225 существует уязвимость недостаточной энтропии в RadAsyncUpload, где предсказуемый временный идентификатор, основанный на метке времени и имени файла, может привести к коллизиям и подделке содержимого файла.
Показать оригинальное описание (EN)
In Progress® Telerik® UI for AJAX, versions prior to 2026.1.225, an insufficient entropy vulnerability exists in RadAsyncUpload, where a predictable temporary identifier, based on timestamp and filename, can enable collisions and file content tampering.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Progress Telerik_Ui_For_Asp.Net_Ajax
cpe:2.3:a:progress:telerik_ui_for_asp.net_ajax:*:*:*:*:*:*:*:*
|
— |
2026.1.225
|