Description
Plusieurs vulnérabilités sérieuses ont été trouvées dans Microsoft .NET Core et ASP.NET Core. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour provoquer un déni de service, obtenir des informations sensibles et obtenir des privilèges.
Voici une liste complète des vulnérabilités:
- Un traitement incorrect des données de certificat peut être exploité à distance en fournissant un certificat spécialement conçu à l'application .NET Core pour provoquer un déni de service;
- Une vulnérabilité de redirection ouverte peut être exploitée à distance via une URL spécialement conçue pour obtenir des privilèges;
- Un traitement incorrect de la requête Web peut être exploité à distance via des requêtes spécialement conçues adressées à l'application Web ASP.NET Core pour provoquer un déni de service;
- Permettre de contourner les configurations CORS (Cross-origin Resource Sharing) peut être exploité à distance pour obtenir des informations sensitives.
Détails techniques
La vulnérabilité (1) affecte uniquement .NET Core 1.0, 1.1 et 2.0
Vulnérabilité (2) affecte uniquement ASP.NET Core 2.0
Vulnérabilité (3) affecte uniquement ASP.NET Core 1.0, 1.1, 2.0
Vulnérabilité (4) affecte uniquement ASP.NET Core 1.0, 1.1
Fiches de renseignement originales
Liste CVE
Liste KB
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com