Source: watchTowr Labs — Publication de recherche détaillant CVE-2025-3600, une vulnérabilité d’unsafe reflection dans Progress Telerik UI for ASP.NET AJAX, et ses vecteurs d’exploitation potentiels dans des environnements .NET variés.
• Vulnérabilité et portée. La faille CVE-2025-3600 affecte les versions de Telerik UI for ASP.NET AJAX de 2011.2.712 à 2025.1.218. Elle permet l’instanciation arbitraire de types .NET via une seule requête HTTP, exposant des applications d’entreprise, des plateformes SaaS et des solutions custom. Les auteurs estiment ~185 000+ instances potentiellement vulnérables identifiées lors d’une reconnaissance initiale.
• Impact. Par défaut, l’exploitation aboutit à un déni de service (DoS) en abusant le garbage collector. Les chercheurs démontrent toutefois six vecteurs d’escalade dépendants du contexte cible, avec une RCE potentielle lorsqu’elle est chaînée à d’autres vulnérabilités.
• Cause technique. Le problème se situe dans la classe Telerik.Web.UI.ImageEditor.ImageEditorCacheHandler, où l’entrée contrôlée par l’attaquant (paramètre prtype) est transmise à Type.GetType() puis Activator.CreateInstance() sans validation, autorisant l’instanciation de tout type disposant d’un constructeur public sans argument (CWE-470 — Unsafe Reflection).
• Techniques d’exploitation. Un gadget clé est System.Management.Automation.Remoting.WSManPluginManagedEntryInstanceWrapper, dont le finalizer tente de libérer un handle non initialisé, provoquant des exceptions non gérées (DoS). Des techniques avancées incluent l’activation de résolveurs d’assembly non sécurisés, la manipulation d’événements AppDomain, et l’exploitation de constructeurs traitant des données contrôlées par l’attaquant.
• Chaînes d’attaque. Une preuve de concept illustre un chaînage pré-auth vers la RCE avec Sitecore CVE-2025-34509, via le chargement d’assembly malveillant au travers d’un FolderControlSource resolver vulnérable.
IOCs et TTPs:
- IOCs: Aucun indicateur technique explicite fourni dans la publication.
- TTPs:
- Exploitation d’unsafe reflection et instanciation arbitraire de types
- Utilisation du gadget WSManPluginManagedEntryInstanceWrapper (finalizer) pour provoquer un DoS
- Insecure assembly resolvers et manipulation d’AppDomain events
- Exploitation de constructeurs traitant des entrées attaquantes
- Chaînage avec CVE-2025-34509 (Sitecore) pour pré-auth RCE via FolderControlSource resolver
Type d’article: publication de recherche technique visant à documenter la vulnérabilité, ses mécanismes et des vecteurs d’exploitation démontrés.
🔗 Source originale : https://labs.watchtowr.com/more-than-dos-progress-telerik-ui-for-asp-net-ajax-unsafe-reflection-cve-2025-3600/