Descripción
Se han encontrado múltiples vulnerabilidades graves en Microsoft .NET Core y ASP.NET Core. Los usuarios malintencionados pueden explotar estas vulnerabilidades para causar la denegación de servicio, obtener información sensible y obtener privilegios.
A continuación hay una lista completa de vulnerabilidades:
- El manejo incorrecto de los datos del certificado se puede explotar de forma remota al proporcionar un certificado especialmente diseñado para la aplicación .NET Core para causar la denegación de servicio;
- Una vulnerabilidad de redirección abierta se puede explotar de forma remota a través de una URL especialmente diseñada para obtener privilegios;
- El manejo incorrecto de la solicitud web puede explotarse remotamente mediante solicitudes especialmente elaboradas a la aplicación web ASP.NET Core para causar la denegación de servicio;
- Permitir pasar por alto las configuraciones de Intercambio de recursos de origen cruzado (CORS) se pueden explotar de forma remota para obtener información sensible.
Detalles técnicos
La vulnerabilidad (1) afecta solo a .NET Core 1.0, 1.1 y 2.0
La vulnerabilidad (2) afecta solo a ASP.NET Core 2.0
La vulnerabilidad (3) solo afecta a ASP.NET Core 1.0, 1.1, 2.0
La vulnerabilidad (4) solo afecta a ASP.NET Core 1.0, 1.1
Notas informativas originales
Lista CVE
Lista KB
Leer más
Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com