ALT-PU-2025-13677-4 — dotnet-aspnetcore-8.0

BDU:2025-04038

HIGH7.5

Уязвимость программной платформы ASP.NET Core и средства разработки программного обеспечения Microsoft Visual Studio, связанная с неограниченным распределением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2025-04-09Изменено: 2025-05-20

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

Ссылки

CVE-2025-26682

BDU:2025-04300

HIGH7.0

Уязвимость программной платформы ASP.NET Core и средства разработки программного обеспечения Microsoft Visual Studio, связанная с обходом аутентификации, позволяющая нарушителю повысить свои привилегии

Опубликовано: 2025-04-14Изменено: 2025-12-02

CVSS 3.xВЫСОКАЯ 7.0

CVSS:3.x/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:H

CVSS 2.0СРЕДНЯЯ 6.6

CVSS:2.0/AV:N/AC:H/Au:N/C:P/I:P/A:C

Ссылки

CVE-2025-24070

BDU:2025-13247

CRITICAL9.9

Уязвимость программной платформы ASP.NET Core, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю обойти существующие ограничения безопасности

Опубликовано: 2025-10-22Изменено: 2025-11-26

CVSS 3.xКРИТИЧЕСКАЯ 9.9

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L

CVSS 2.0ВЫСОКАЯ 8.7

CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:P

Ссылки

CVE-2025-55315

CVE-2025-24070

HIGH7.0

Weak authentication in ASP.NET Core & Visual Studio allows an unauthorized attacker to elevate privileges over a network.

Опубликовано: 2025-03-11Изменено: 2025-07-02

CVSS 3.xВЫСОКАЯ 7.0

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:H

Ссылки

CVE-2025-26682

HIGH7.5

Allocation of resources without limits or throttling in ASP.NET Core allows an unauthorized attacker to deny service over a network.

Опубликовано: 2025-04-08Изменено: 2025-07-09

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Ссылки

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-26682

CVE-2025-55315

CRITICAL9.9

Inconsistent interpretation of http requests ('http request/response smuggling') in ASP.NET Core allows an authorized attacker to bypass a security feature over a network.

Опубликовано: 2025-10-14Изменено: 2025-10-28

CVSS 3.xКРИТИЧЕСКАЯ 9.9

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L

Ссылки

GHSA-2865-hh9g-w894

HIGH7.0

Microsoft Security Advisory CVE-2025-24070: .NET Elevation of Privilege Vulnerability

Опубликовано: 2025-03-11Изменено: 2025-10-23

CVSS 3.xВЫСОКАЯ 7.0

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:H

Ссылки

GHSA-5rrx-jjjq-q2r5

CRITICAL9.9

Microsoft Security Advisory CVE-2025-55315: .NET Security Feature Bypass Vulnerability

Опубликовано: 2025-10-14Изменено: 2025-10-22

CVSS 3.xКРИТИЧЕСКАЯ 9.9

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L

Ссылки

Обновление пакета dotnet-aspnetcore-8.0 в ветке c10f2

Закрытые проблемы (8)

Уязвимость программной платформы ASP.NET Core, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю обойти существующие ограничения безопасности

Weak authentication in ASP.NET Core & Visual Studio allows an unauthorized attacker to elevate privileges over a network.

Allocation of resources without limits or throttling in ASP.NET Core allows an unauthorized attacker to deny service over a network.

Inconsistent interpretation of http requests ('http request/response smuggling') in ASP.NET Core allows an authorized attacker to bypass a security feature over a network.

Microsoft Security Advisory CVE-2025-24070: .NET Elevation of Privilege Vulnerability

Microsoft Security Advisory CVE-2025-55315: .NET Security Feature Bypass Vulnerability