Progress UI for WinForms 圧縮解除パス・トラバーサル脆弱性

この脆弱性を悪用されると、攻撃者はTelerik UI for WinFormsアプリケーションが処理するアーカイブファイルを操作し、システム上の任意の場所にファイルを書き込むことが可能になります。これにより、機密情報（設定ファイル、データベース接続情報など）が漏洩したり、悪意のあるコードが実行されたりするリスクがあります。特に、アーカイブファイルが外部からの入力に基づいて処理される場合、攻撃の影響は拡大する可能性があります。この脆弱性は、ファイルシステムへの不正アクセスを可能にするため、システム全体のセキュリティを脅かす重大な問題です。

Applications utilizing Telerik UI for WinForms to process user-uploaded files or handle external data streams are particularly at risk. Legacy applications using older versions of the framework and those with inadequate input validation routines are also more vulnerable. Shared hosting environments where multiple applications share the same file system could experience broader impact if one application is compromised.

• dotnet / windows: Use Process Monitor to observe file system activity when Telerik UI for WinForms is processing archives. Look for attempts to extract files into unexpected or restricted directories.

Get-Process | Where-Object {$_.ProcessName -like '*Telerik*'} | Get-Process -IncludeChildren

• dotnet / windows: Examine application event logs for errors related to file extraction or access denied errors when attempting to write to restricted directories. • dotnet / windows: Review Telerik UI for WinForms configuration files for any custom settings related to archive processing or file system paths. Look for any misconfigurations that could contribute to the vulnerability.

1. 2025-02-12Disclosure

   disclosure

1. 予約済み2025-01-08
2. 公開日2025-02-12
3. EPSS 更新日2026-04-02

まず、Telerik UI for WinFormsをバージョン2025.1.211以降にアップデートすることを強く推奨します。アップデートがすぐに利用できない場合は、アーカイブファイルの展開先ディレクトリへのアクセスを制限する、入力検証を厳格化するなどの緩和策を講じることが有効です。WAF（Web Application Firewall）を使用している場合は、アーカイブファイルの展開に関連する不正なリクエストをブロックするルールを設定することも検討してください。アップデート後、アプリケーションを再起動し、展開処理が正常に行われていることを確認してください。