阿里云漏洞库

漏洞描述

Microsoft .NET Framework是美国微软（Microsoft）公司的一种全面且一致的编程模型，也是一个用于构建Windows、Windows Store、Windows Phone、Windows Server和Microsoft Azure的应用程序的开发平台。该平台包括C＃和Visual Basic编程语言、公共语言运行库和广泛的类库。

Microsoft .NET Framework存在远程代码执行漏洞。攻击者可利用该漏洞在目标主机上执行代码。

受影响系统：

Microsoft .NET Framework

Microsoft .NET Core 3.1

Microsoft .NET 7.0

Microsoft .NET 6.0

Microsoft Microsoft Visual Studio 2019 16.11 (包括16.0-16.10)

Microsoft Microsoft Visual Studio 2022 17.4

Microsoft Microsoft Visual Studio 2022 17.2

Microsoft Microsoft Visual Studio 2022 17.0

解决建议

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41089

参考链接
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41089
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41089

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	microsoft	.net	2.0	-
	运行在以下环境
	应用	microsoft	.net	3.0	-
	运行在以下环境
	应用	microsoft	.net	3.5	-
	运行在以下环境
	应用	microsoft	.net	3.5.1	-
	运行在以下环境
	应用	microsoft	.net	4.6	-
	运行在以下环境
	应用	microsoft	.net	4.6.1	-
	运行在以下环境
	应用	microsoft	.net	4.6.2	-
	运行在以下环境
	应用	microsoft	.net	4.7	-
	运行在以下环境
	应用	microsoft	.net	4.7.1	-
	运行在以下环境
	应用	microsoft	.net	4.7.2	-
	运行在以下环境
	应用	microsoft	.net	4.8	-
	运行在以下环境
	应用	microsoft	.net	4.8.1	-
	运行在以下环境
	系统	alpine_3.16	dotnet6-build	*		Up to (excluding) 6.0.112-r0
	运行在以下环境
	系统	alpine_3.17	dotnet6-build	*		Up to (excluding) 7.0.1-r0
	运行在以下环境
	系统	alpine_edge	dotnet6-build	*		Up to (excluding) 6.0.112-r0

攻击路径

本地
攻击复杂度

复杂
权限要求

无需权限
影响范围

全局影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
NVD-CWE-noinfo

中危 Microsoft .NET Framework远程代码执行漏洞（CVE-2022-41089）

漏洞描述

解决建议

参考链接

受影响软件情况