Se han descubierto vulnerabilidades de severidad alta en productos Progress Telerik. Un actor malicioso podría ejecutar código arbitrario o provocar una denegación de servicio en los sistemas afectados.
Productos afectados
Telerik UI para ASP.NET AJAX:
- Versiones 2024.4.1114 hasta la 2026.1.421.
- Versiones anteriores a la 2026.1.421.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-6023: con una puntuación de 8.1 en CVSS v3.1. Existe una vulnerabilidad de deserialización de datos no confiables en el control RadFilter. Un actor malicioso remoto podría manipular el estado del filtro cuando este se expone al cliente para lograr la ejecución remota de código en el servidor.
CVE-2026-6022: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de consumo de recursos no controlado en el componente RadAsyncUpload. Un actor malicioso remoto podría realizar la carga de archivos que excedan el tamaño máximo permitido mediante la manipulación del reensamblaje de fragmentos, lo que resulta en el agotamiento del espacio en disco y una denegación de servicio.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias