CVE-2024-0057 to krytyczna podatność klasy Security Feature Bypass dotycząca środowisk .NET, .NET Framework oraz Visual Studio. Umożliwia zdalnym, nieuwierzytelnionym atakującym obejście mechanizmów bezpieczeństwa, co może prowadzić do naruszenia poufności i integralności danych.
▸ Pokaż oryginał (EN)
NET, .NET Framework, and Visual Studio Security Feature Bypass Vulnerability
Podatność wynika z nieprawidłowej walidacji danych wejściowych (CWE-20) w komponentach .NET, .NET Framework oraz Visual Studio. Atakujący może zdalnie, bez uwierzytelnienia i bez interakcji użytkownika, dostarczyć specjalnie spreparowane dane wejściowe, które skutkują pominięciem wbudowanych mechanizmów kontroli bezpieczeństwa. Wektor ataku jest sieciowy, a niska złożoność ataku oznacza, że jego przeprowadzenie nie wymaga zaawansowanych umiejętności ani szczególnych warunków.
Skuteczne wykorzystanie podatności pozwala atakującemu na obejście zabezpieczeń aplikacji oraz naruszenie poufności i integralności przetwarzanych danych. Nie wpływa bezpośrednio na dostępność systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — aktualizacje zostały opublikowane przez Microsoft w ramach Patch Tuesday ze stycznia 2024 r. Szczegółowe informacje o wersjach naprawionych dostępne są pod adresem: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-0057
Microsoft PowerShell, Microsoft Visual Studio 2022 oraz środowiska .NET i .NET Framework — dokładne wersje wskazane w referencjach producenta (Microsoft Security Response Center).
Podatność opublikowana 9 stycznia 2024 r. w ramach cyklicznego Patch Tuesday firmy Microsoft. Dodatkowe informacje dotyczące wpływu na produkty NetApp dostępne są w referencji: https://security.netapp.com/advisory/ntap-20240208-0007/
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NMicrosoft .net
APPMicrosoft8.0.07.0.0 – 7.0.15 (bez)6.0.0 – 6.0.26 (bez)Microsoft .net Framework
APPMicrosoft2.03.03.54.6.24.74.7.14.7.24.8.14.8 – 4.8.04690.02 (bez)4.8 – 4.8.04690.01 (bez)Microsoft Powershell
APPMicrosoft7.47.2 – 7.2.18 (bez)7.3 – 7.3.11 (bez)Microsoft Visual Studio 2022
APPMicrosoft17.4 – 17.4.15 (bez)17.2 – 17.2.23 (bez)17.8 – 17.8.4 (bez)17.6 – 17.6.11 (bez)Microsoft Windows 10 1607
OSMicrosoftwszystkie wersjeMicrosoft Windows 10 1809
OSMicrosoftwszystkie wersjeMicrosoft Windows 10 21h2
OSMicrosoftwszystkie wersjeMicrosoft Windows 10 22h2
OSMicrosoftwszystkie wersjeMicrosoft Windows 11 21h2
OSMicrosoftwszystkie wersjeMicrosoft Windows 11 22h2
OSMicrosoftwszystkie wersjeMicrosoft Windows 11 23h2
OSMicrosoftwszystkie wersjeMicrosoft Windows Server 2008
OSMicrosoftr2Microsoft Windows Server 2012
OSMicrosoftr2Microsoft Windows Server 2016
OSMicrosoftwszystkie wersjeMicrosoft Windows Server 2019
OSMicrosoftwszystkie wersjeMicrosoft Windows Server 2022
OSMicrosoftwszystkie wersjeMicrosoft Windows Server 2022 23h2
OSMicrosoftwszystkie wersje
Powiązane podatności
RCE w Windows Server Update Service (WSUS) — deserializacja danych
A remote code execution vulnerability exists in Windows Domain Name System servers when they fail to properly ...
A remote code execution vulnerability exists when Hyper-V RemoteFX vGPU on a host server fails to properly val...
A remote code execution vulnerability exists when the Microsoft .NET Framework fails to validate input properl...
A remote code execution vulnerability exists in Remote Desktop Services formerly known as Terminal Services wh...