Visual Studio 远程执行代码漏洞

CVE编号

CVE-2020-16874

利用情况

暂无

补丁情况

N/A

披露时间

2020-09-08
漏洞描述
Microsoft Visual Studio Code是美国微软(Microsoft)公司的一款开源的代码编辑器。<br />
Visual Studio存在远程代码执行漏洞。该漏洞源于程序未对内存中的对象进行正确处理。攻击者可借助特制的文件利用该漏洞在当前用户的上下文中执行任意代码、控制受影响的系统、查看、更改或删除数据或创建具有完全用户权限的新账户。以下产品及版本受到影响: Microsoft Visual Studio 2012 Update 5、Microsoft Visual Studio 2013 Update 5、Microsoft Visual Studio 2017 15.9、 Microsoft Visual Studio 2019 16.7、Microsoft Visual Studio 2019 16.0、Microsoft Visual Studio 2019 16.4和Microsoft Visual Studio 2015 Update 3。

解决建议
厂商已发布了漏洞修复程序,请及时关注更新:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16874
参考链接
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-16874
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16874
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 microsoft visual_studio 2012 -
运行在以下环境
应用 microsoft visual_studio 2013 -
运行在以下环境
应用 microsoft visual_studio 2015 -
运行在以下环境
应用 microsoft visual_studio_2017 * From
(including)
15.0 		Up to
(including)
15.8
运行在以下环境
应用 microsoft visual_studio_2019 * From
(including)
16.0 		Up to
(including)
16.3
运行在以下环境
应用 microsoft visual_studio_2019 * From
(including)
16.5 		Up to
(including)
16.6
CVSS3评分
7.8
  • 攻击路径
    本地
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
    需要
  • 可用性
  • 保密性
  • 完整性
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CWE-ID 漏洞类型
CWE-94 对生成代码的控制不恰当(代码注入)
NVD-CWE-noinfo
阿里云安全产品覆盖情况