ALT-PU-2025-13674-5 — dotnet-bootstrap-8.0

BDU:2025-04038

HIGH7.5

Уязвимость программной платформы ASP.NET Core и средства разработки программного обеспечения Microsoft Visual Studio, связанная с неограниченным распределением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2025-04-09Изменено: 2025-05-20

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

Ссылки

CVE-2025-26682

BDU:2025-04300

HIGH7.0

Уязвимость программной платформы ASP.NET Core и средства разработки программного обеспечения Microsoft Visual Studio, связанная с обходом аутентификации, позволяющая нарушителю повысить свои привилегии

Опубликовано: 2025-04-14Изменено: 2025-12-02

CVSS 3.xВЫСОКАЯ 7.0

CVSS:3.x/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:H

CVSS 2.0СРЕДНЯЯ 6.6

CVSS:2.0/AV:N/AC:H/Au:N/C:P/I:P/A:C

Ссылки

CVE-2025-24070

BDU:2025-05444

HIGH8.0

Уязвимость средства разработки программного обеспечения Microsoft Visual Studio, программной платформы Microsoft.NET и набора инструментов Build Tools for Visual Studio, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю проводить спуфинг атаки

Опубликовано: 2025-05-14Изменено: 2025-06-23

CVSS 3.xВЫСОКАЯ 8.0

CVSS:3.x/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVSS 2.0КРИТИЧЕСКАЯ 9.0

CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:C

Ссылки

CVE-2025-26646

BDU:2025-13247

CRITICAL9.9

Уязвимость программной платформы ASP.NET Core, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю обойти существующие ограничения безопасности

Опубликовано: 2025-10-22Изменено: 2025-11-26

CVSS 3.xКРИТИЧЕСКАЯ 9.9

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L

CVSS 2.0ВЫСОКАЯ 8.7

CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:P

Ссылки

CVE-2025-55315

BDU:2025-13256

HIGH7.3

Уязвимость программной платформы .NET, связанная с некорректным определением символических ссылок в ходе осуществления доступа к файлу, позволяющая нарушителю повысить свои привилегии

Опубликовано: 2025-10-23Изменено: 2026-02-10

CVSS 3.xВЫСОКАЯ 7.3

CVSS:3.x/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVSS 2.0СРЕДНЯЯ 6.8

CVSS:2.0/AV:L/AC:L/Au:S/C:C/I:C/A:C

Ссылки

CVE-2025-55247

BDU:2025-13257

MEDIUM4.8

Уязвимость программных платформ Microsoft .NET Framework, .NET и средства разработки программного обеспечения Microsoft Visual Studio, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю раскрыть защищаемую информацию

Опубликовано: 2025-10-23Изменено: 2025-12-03

CVSS 3.xСРЕДНЯЯ 4.8

CVSS:3.x/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:N/A:N

CVSS 2.0СРЕДНЯЯ 4.9

CVSS:2.0/AV:N/AC:H/Au:S/C:C/I:N/A:N

Ссылки

CVE-2025-55248

CVE-2025-24070

HIGH7.0

Weak authentication in ASP.NET Core & Visual Studio allows an unauthorized attacker to elevate privileges over a network.

Опубликовано: 2025-03-11Изменено: 2025-07-02

CVSS 3.xВЫСОКАЯ 7.0

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:H

Ссылки

CVE-2025-26646

HIGH8.0

External control of file name or path in .NET, Visual Studio, and Build Tools for Visual Studio allows an authorized attacker to perform spoofing over a network.

Опубликовано: 2025-05-13Изменено: 2025-07-10

CVSS 3.xВЫСОКАЯ 8.0

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Ссылки

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-26646

CVE-2025-26682

HIGH7.5

Allocation of resources without limits or throttling in ASP.NET Core allows an unauthorized attacker to deny service over a network.

Опубликовано: 2025-04-08Изменено: 2025-07-09

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Ссылки

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-26682

CVE-2025-55247

HIGH7.3

Improper link resolution before file access ('link following') in .NET allows an authorized attacker to elevate privileges locally.

Опубликовано: 2025-10-14Изменено: 2025-10-23

CVSS 3.xВЫСОКАЯ 7.3

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Ссылки

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-55247

CVE-2025-55248

MEDIUM5.7

Inadequate encryption strength in .NET, .NET Framework, Visual Studio allows an authorized attacker to disclose information over a network.

Опубликовано: 2025-10-14Изменено: 2025-10-23

CVSS 3.xСРЕДНЯЯ 5.7

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Ссылки

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-55248

CVE-2025-55315

CRITICAL9.9

Inconsistent interpretation of http requests ('http request/response smuggling') in ASP.NET Core allows an authorized attacker to bypass a security feature over a network.

Опубликовано: 2025-10-14Изменено: 2025-10-28

CVSS 3.xКРИТИЧЕСКАЯ 9.9

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L

Ссылки

GHSA-2865-hh9g-w894

HIGH7.0

Microsoft Security Advisory CVE-2025-24070: .NET Elevation of Privilege Vulnerability

Опубликовано: 2025-03-11Изменено: 2025-10-23

CVSS 3.xВЫСОКАЯ 7.0

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:H

Ссылки

GHSA-5rrx-jjjq-q2r5

CRITICAL9.9

Microsoft Security Advisory CVE-2025-55315: .NET Security Feature Bypass Vulnerability

Опубликовано: 2025-10-14Изменено: 2025-10-22

CVSS 3.xКРИТИЧЕСКАЯ 9.9

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L

Ссылки

GHSA-gwq6-fmvp-qp68

MEDIUM5.7

Microsoft Security Advisory CVE-2025-55248: .NET Information Disclosure Vulnerability

Опубликовано: 2025-10-15

CVSS 3.xСРЕДНЯЯ 5.7

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Ссылки

GHSA-h4j7-5rxr-p4wc

HIGH8.0

Microsoft.Build.Tasks.Core .NET Spoofing Vulnerability

Опубликовано: 2025-05-14Изменено: 2025-06-16

CVSS 3.xВЫСОКАЯ 8.0

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Ссылки

GHSA-w3q9-fxm7-j8fq

HIGH7.3

Microsoft Security Advisory CVE-2025-55247 | .NET Denial of Service Vulnerability

Опубликовано: 2025-10-15Изменено: 2025-10-27

CVSS 3.xВЫСОКАЯ 7.3

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Ссылки

Обновление пакета dotnet-bootstrap-8.0 в ветке p11

Закрытые проблемы (17)

Уязвимость программной платформы ASP.NET Core, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю обойти существующие ограничения безопасности

Weak authentication in ASP.NET Core & Visual Studio allows an unauthorized attacker to elevate privileges over a network.

External control of file name or path in .NET, Visual Studio, and Build Tools for Visual Studio allows an authorized attacker to perform spoofing over a network.

Allocation of resources without limits or throttling in ASP.NET Core allows an unauthorized attacker to deny service over a network.

Improper link resolution before file access ('link following') in .NET allows an authorized attacker to elevate privileges locally.

Inadequate encryption strength in .NET, .NET Framework, Visual Studio allows an authorized attacker to disclose information over a network.

Inconsistent interpretation of http requests ('http request/response smuggling') in ASP.NET Core allows an authorized attacker to bypass a security feature over a network.

Microsoft Security Advisory CVE-2025-24070: .NET Elevation of Privilege Vulnerability

Microsoft Security Advisory CVE-2025-55315: .NET Security Feature Bypass Vulnerability

Microsoft Security Advisory CVE-2025-55248: .NET Information Disclosure Vulnerability

Microsoft.Build.Tasks.Core .NET Spoofing Vulnerability

Microsoft Security Advisory CVE-2025-55247 | .NET Denial of Service Vulnerability