概要
Progress Telerik UI for WinUIは、Windows App SDK向けのUIコンポーネントライブラリです。リッチテキストエディタ、データグリッド、チャート等のUIコントロールを提供し、Windowsデスクトップアプリケーション開発で広く利用されています。
本脆弱性は、Telerik UI for WinUIの2025 Q1(バージョン3.0.0)より前のバージョンに存在するコマンドインジェクションの問題です。ハイパーリンク要素の無害化(ニュートラライゼーション)が不適切であるため、攻撃者が悪意のあるハイパーリンクを通じてコマンドインジェクション攻撃を実行できる可能性があります。
この脆弱性が悪用された場合、ユーザーが悪意のあるハイパーリンクをクリックした際に、アプリケーションの権限で任意のコマンドが実行される恐れがあります。CVSSスコアは7.8(ローカル攻撃ベクトル)であり、ユーザーの操作が攻撃の前提条件となります。
Telerik UIコンポーネントを使用してリッチテキスト入力を受け付けるアプリケーションを開発・運用している場合は、速やかにアップデートを検討してください。
CVSSベクトル
| 指標 | 値 |
|---|---|
| CVSSスコア | 7.8 |
| 深刻度 | High |
| CWE | CWE-77 (コマンドインジェクション) |
| 攻撃元区分 | ローカル |
| 攻撃条件の複雑さ | 低 |
| ユーザー関与 | 必要 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Telerik UI for WinUI | Progress Software | < 2025 Q1 (3.0.0) |
修正バージョンと回避策
- 修正バージョン: Telerik UI for WinUI 2025 Q1(バージョン3.0.0)以降にアップデートしてください
- 回避策: アップデートが困難な場合は、リッチテキストコンポーネントでのハイパーリンクの処理を制限するか、ユーザー入力のハイパーリンクを無効化することを検討してください
- 確認方法: プロジェクトのNuGetパッケージ参照でTelerik.UI.for.WinUIのバージョンを確認してください
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。