Security Advisory

Unauthenticated Remote Code Execution in Ajax.NET Professional

Durch das Ausnutzen einer Schwachstelle im Deserializer der Bibliothek können Angreifer eigenen Code auf dem System ausführen.

Advisory ID: MLSA-2021-004
CVE: CVE-2021-23758
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Kritikalität: critical
Betroffene Versionen: < 21.12.21.1
Behoben in: 21.11.29.1
Gefunden von: Hans-Martin Münch

Produktbeschreibung (englisch)

Ajax.NET Professional (AjaxPro) is one of the first AJAX frameworks available for Microsoft ASP.NET.

The framework will create proxy JavaScript classes that are used on client-side to invoke methods on the web server with full data type support working on all common web browsers including mobile devices. Return your own classes, structures, DataSets, enums,… as you are doing directly in .NET.

Details

Eine detaillierte Beschreibung der Schwachstelle finden Sie in unserem Blogbeitrag “Vulnerability Spotlight: RCE in Ajax.NET Professional” (siehe Referenzen).

Coordinated Disclosure Zeitverlauf

  • 25/10/2021 Die Schwachstelle wurde an das Ajax.NET Professional gemeldet.
  • 26/10/2021 Bestätgung der Meldung durch die Ajax.NET Professional Entwickler.
  • 27/10/2021 Fragen der Ajax.NET Professional, erster Code zur Behebung der Schwachstelle.
  • 27/10/2021 Weitere Erläuterungen von MOGWAI LABS, Feedback zur geplanten Schwachstellenbehebung.
  • 29/11/2021 Meldung weiterer Probleme, die von Markus Wulftange (Code White GmbH) gefunden wurden.
  • 26/10/2021 Bestätigung durch die Ajax.NET Professional Entwickler.
  • 05/12/2021 Veröffentlichung des Advisories durch die Ajax.NET Professional Entwickler.
  • 18/01/2022 MOGWAI LABS Blog Post mit Schwachstellen Details.