ALT-PU-2025-13674-5 — dotnet-bootstrap-8.0

BDU:2025-04038

HIGH7.5

Уязвимость программной платформы ASP.NET Core и средства разработки программного обеспечения Microsoft Visual Studio, связанная с неограниченным распределением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

Published: 2025-04-09Modified: 2025-05-20

CVSS 3.xHIGH 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0HIGH 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

References

CVE-2025-26682

BDU:2025-04300

HIGH7.0

Уязвимость программной платформы ASP.NET Core и средства разработки программного обеспечения Microsoft Visual Studio, связанная с обходом аутентификации, позволяющая нарушителю повысить свои привилегии

Published: 2025-04-14Modified: 2025-12-02

CVSS 3.xHIGH 7.0

CVSS:3.x/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:H

CVSS 2.0MEDIUM 6.6

CVSS:2.0/AV:N/AC:H/Au:N/C:P/I:P/A:C

References

CVE-2025-24070

BDU:2025-05444

HIGH8.0

Уязвимость средства разработки программного обеспечения Microsoft Visual Studio, программной платформы Microsoft.NET и набора инструментов Build Tools for Visual Studio, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю проводить спуфинг атаки

Published: 2025-05-14Modified: 2025-06-23

CVSS 3.xHIGH 8.0

CVSS:3.x/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVSS 2.0CRITICAL 9.0

CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:C

References

CVE-2025-26646

BDU:2025-13247

CRITICAL9.9

Уязвимость программной платформы ASP.NET Core, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю обойти существующие ограничения безопасности

Published: 2025-10-22Modified: 2025-11-26

CVSS 3.xCRITICAL 9.9

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L

CVSS 2.0HIGH 8.7

CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:P

References

CVE-2025-55315

BDU:2025-13256

HIGH7.3

Уязвимость программной платформы .NET, связанная с некорректным определением символических ссылок в ходе осуществления доступа к файлу, позволяющая нарушителю повысить свои привилегии

Published: 2025-10-23Modified: 2026-02-10

CVSS 3.xHIGH 7.3

CVSS:3.x/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVSS 2.0MEDIUM 6.8

CVSS:2.0/AV:L/AC:L/Au:S/C:C/I:C/A:C

References

CVE-2025-55247

BDU:2025-13257

MEDIUM4.8

Уязвимость программных платформ Microsoft .NET Framework, .NET и средства разработки программного обеспечения Microsoft Visual Studio, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю раскрыть защищаемую информацию

Published: 2025-10-23Modified: 2025-12-03

CVSS 3.xMEDIUM 4.8

CVSS:3.x/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:N/A:N

CVSS 2.0MEDIUM 4.9

CVSS:2.0/AV:N/AC:H/Au:S/C:C/I:N/A:N

References

CVE-2025-55248

CVE-2025-24070

HIGH7.0

Weak authentication in ASP.NET Core & Visual Studio allows an unauthorized attacker to elevate privileges over a network.

Published: 2025-03-11Modified: 2025-07-02

CVSS 3.xHIGH 7.0

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:H

References

CVE-2025-26646

HIGH8.0

External control of file name or path in .NET, Visual Studio, and Build Tools for Visual Studio allows an authorized attacker to perform spoofing over a network.

Published: 2025-05-13Modified: 2025-07-10

CVSS 3.xHIGH 8.0

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

References

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-26646

CVE-2025-26682

HIGH7.5

Allocation of resources without limits or throttling in ASP.NET Core allows an unauthorized attacker to deny service over a network.

Published: 2025-04-08Modified: 2025-07-09

CVSS 3.xHIGH 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

References

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-26682

CVE-2025-55247

HIGH7.3

Improper link resolution before file access ('link following') in .NET allows an authorized attacker to elevate privileges locally.

Published: 2025-10-14Modified: 2025-10-23

CVSS 3.xHIGH 7.3

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

References

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-55247

CVE-2025-55248

MEDIUM5.7

Inadequate encryption strength in .NET, .NET Framework, Visual Studio allows an authorized attacker to disclose information over a network.

Published: 2025-10-14Modified: 2025-10-23

CVSS 3.xMEDIUM 5.7

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

References

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-55248

CVE-2025-55315

CRITICAL9.9

Inconsistent interpretation of http requests ('http request/response smuggling') in ASP.NET Core allows an authorized attacker to bypass a security feature over a network.

Published: 2025-10-14Modified: 2025-10-28

CVSS 3.xCRITICAL 9.9

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L

References

GHSA-2865-hh9g-w894

HIGH7.0

Microsoft Security Advisory CVE-2025-24070: .NET Elevation of Privilege Vulnerability

Published: 2025-03-11Modified: 2025-10-23

CVSS 3.xHIGH 7.0

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:H

References

GHSA-5rrx-jjjq-q2r5

CRITICAL9.9

Microsoft Security Advisory CVE-2025-55315: .NET Security Feature Bypass Vulnerability

Published: 2025-10-14Modified: 2025-10-22

CVSS 3.xCRITICAL 9.9

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L

References

GHSA-gwq6-fmvp-qp68

MEDIUM5.7

Microsoft Security Advisory CVE-2025-55248: .NET Information Disclosure Vulnerability

Published: 2025-10-15

CVSS 3.xMEDIUM 5.7

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

References

GHSA-h4j7-5rxr-p4wc

HIGH8.0

Microsoft.Build.Tasks.Core .NET Spoofing Vulnerability

Published: 2025-05-14Modified: 2025-06-16

CVSS 3.xHIGH 8.0

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

References

GHSA-w3q9-fxm7-j8fq

HIGH7.3

Microsoft Security Advisory CVE-2025-55247 | .NET Denial of Service Vulnerability

Published: 2025-10-15Modified: 2025-10-27

CVSS 3.xHIGH 7.3

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

References

Package update dotnet-bootstrap-8.0 in branch p11

Closed issues (17)

Уязвимость программной платформы ASP.NET Core, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю обойти существующие ограничения безопасности

Weak authentication in ASP.NET Core & Visual Studio allows an unauthorized attacker to elevate privileges over a network.

External control of file name or path in .NET, Visual Studio, and Build Tools for Visual Studio allows an authorized attacker to perform spoofing over a network.

Allocation of resources without limits or throttling in ASP.NET Core allows an unauthorized attacker to deny service over a network.

Improper link resolution before file access ('link following') in .NET allows an authorized attacker to elevate privileges locally.

Inadequate encryption strength in .NET, .NET Framework, Visual Studio allows an authorized attacker to disclose information over a network.

Inconsistent interpretation of http requests ('http request/response smuggling') in ASP.NET Core allows an authorized attacker to bypass a security feature over a network.

Microsoft Security Advisory CVE-2025-24070: .NET Elevation of Privilege Vulnerability

Microsoft Security Advisory CVE-2025-55315: .NET Security Feature Bypass Vulnerability

Microsoft Security Advisory CVE-2025-55248: .NET Information Disclosure Vulnerability

Microsoft.Build.Tasks.Core .NET Spoofing Vulnerability

Microsoft Security Advisory CVE-2025-55247 | .NET Denial of Service Vulnerability