中危 .NET 和 Visual Studio 特权提升漏洞(CVE-2023-33127)
CVE编号
CVE-2023-33127利用情况
暂无补丁情况
官方补丁披露时间
2023-07-11漏洞描述
.NET 是一个由微软开发的软件框架,diagnostic server 是 .NET 用于收集和报告应用程序诊断数据的组件。 .NET 6.0.19/7.0.8 及之前版本中由于 diagnostic server 组件存在权限升级漏洞,任何运行在 .NET 中的应用程序都会受到远程代码执行的影响。 建议及时更新漏洞补丁:hxxps://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33127,用户也可通过 Microsoft Update 获取补丁更新:在 Windows 搜索中键入“检查更新”,或打开“设置”,选择“更新和安全”,然后单击“检查更新”。解决建议
1.将组件 Microsoft Visual Studio 2022 version 17.2 升级至 17.2.17 及以上版本2.将组件 Microsoft Visual Studio 2022 version 17.4 升级至 17.4.9 及以上版本3.将组件 Microsoft Visual Studio 2022 version 17.6 升级至 17.6.5 及以上版本4.将组件 microsoft.windowsdesktop.app.runtime.win-x86 升级至 7.0.9 及以上版本5.将组件 microsoft.windowsdesktop.app.runtime.win-x86 升级至 6.0.20 及以上版本6.将组件 microsoft.windowsdesktop.app.runtime.win-arm64 升级至 6.0.20 及以上版本7.将组件 Microsoft Visual Studio 2022 version 17.0 升级至 17.0.23 及以上版本8.官方已发布补丁:https://dotnet.microsoft.com/download/dotnet/6.09.将组件 microsoft.windowsdesktop.app.runtime.win-x64 升级至 7.0.9 及以上版本10.将组件 microsoft.windowsdesktop.app.runtime.win-x64 升级至 6.0.20 及以上版本11.将组件 microsoft.windowsdesktop.app.runtime.win-arm64 升级至 7.0.9 及以上版本12.官方已发布补丁:https://dotnet.microsoft.com/download/dotnet/7.0
参考链接 |
|
|---|---|
| https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33127 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | microsoft | .net | * | From (including) 6.0.0 | Up to (excluding) 6.0.20 | ||||
| 运行在以下环境 | |||||||||
| 应用 | microsoft | .net | * | From (including) 7.0.0 | Up to (excluding) 7.0.9 | ||||
| 运行在以下环境 | |||||||||
| 应用 | microsoft | visual_studio_2022 | * | From (including) 17.0.0 | Up to (excluding) 17.0.23 | ||||
| 运行在以下环境 | |||||||||
| 应用 | microsoft | visual_studio_2022 | * | From (including) 17.2.0 | Up to (excluding) 17.2.17 | ||||
| 运行在以下环境 | |||||||||
| 应用 | microsoft | visual_studio_2022 | * | From (including) 17.4.0 | Up to (excluding) 17.4.9 | ||||
| 运行在以下环境 | |||||||||
| 应用 | microsoft | visual_studio_2022 | * | From (including) 17.6.0 | Up to (excluding) 17.6.5 | ||||
| 运行在以下环境 | |||||||||
| 应用 | microsoft | visual_studio_2022 | 17.3 | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | alpine_3.18 | dotnet6-build | * | Up to (excluding) 7.0.109-r0 | |||||
| 运行在以下环境 | |||||||||
| 系统 | alpine_edge | dotnet6-build | * | Up to (excluding) 7.0.109-r0 | |||||
- 攻击路径 远程
- 攻击复杂度 复杂
- 权限要求 普通权限
- 影响范围 全局影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| NVD-CWE-noinfo |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论