Descrição
Várias vulnerabilidades sérias foram encontradas no Microsoft .NET Core e no ASP.NET Core. Usuários mal-intencionados podem explorar essas vulnerabilidades para causar negação de serviço, obter informações confidenciais e obter privilégios.
Abaixo está uma lista completa de vulnerabilidades:
- Manipulação indevida de dados de certificado pode ser explorada remotamente por meio do fornecimento de um certificado especialmente criado ao aplicativo .NET Core para causar negação de serviço;
- Uma vulnerabilidade de redirecionamento aberto pode ser explorada remotamente por meio de URL especialmente criada para obter privilégios;
- Manipulação indevida de solicitação da Web pode ser explorada remotamente por meio de solicitações especialmente criadas para o aplicativo da Web ASP.NET Core para causar negação de serviço;
- A possibilidade de ignorar as configurações do Compartilhamento de Recursos de Origem Cruzada (CORS) pode ser explorada remotamente para obter informações sensíveis.
Detalhes técnicos
Vulnerabilidade (1) afeta apenas o .NET Core 1.0, 1.1 e 2.0
Vulnerabilidade (2) afeta apenas o ASP.NET Core 2.0
Vulnerabilidade (3) afeta apenas o ASP.NET Core 1.0, 1.1, 2.0
Vulnerabilidade (4) afeta apenas o ASP.NET Core 1.0, 1.1
Comunicados originais
Lista de CVE
Lista de KB
Saiba mais
Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com
Encontrou uma imprecisão na descrição desta vulnerabilidade? Avise-nos!