阿里云漏洞库

dotpeek 漏洞

CVE编号

CVE-2018-14878

利用情况

暂无

补丁情况

N/A

披露时间

2018-08-14

漏洞描述

JetBrains dotPeek before 2018.2 and ReSharper Ultimate before 2018.1.4 allow attackers to execute code by decompiling a compiled .NET object (such as a DLL or EXE file) with a specific file, because of Deserialization of Untrusted Data.

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
https://blog.jetbrains.com/dotnet/2018/08/02/resharper-ultimate-2018-1-4-rider-2018-1-4-released/

参考链接
https://blog.jetbrains.com/dotnet/2018/08/02/resharper-ultimate-2018-1-4-ride...
https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2018/august/...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	jetbrains	dotpeek	*		Up to (excluding) 2018.2
	运行在以下环境
	应用	jetbrains	resharper_ultimate	*		Up to (including) 2018.1.4

攻击路径

本地
攻击复杂度

低
权限要求

无
影响范围

未更改
用户交互

需要
可用性

高
保密性

高
完整性

高

CWE-ID	漏洞类型
CWE-502	可信数据的反序列化

dotpeek 漏洞

漏洞描述

解决建议

参考链接

受影响软件情况