中危 .NET 和 Visual Studio 特权提升漏洞(CVE-2023-33127)

CVE编号

CVE-2023-33127

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-07-11
漏洞描述
.NET 是一个由微软开发的软件框架,diagnostic server 是 .NET 用于收集和报告应用程序诊断数据的组件。
.NET 6.0.19/7.0.8 及之前版本中由于 diagnostic server 组件存在权限升级漏洞,任何运行在 .NET 中的应用程序都会受到远程代码执行的影响。
建议及时更新漏洞补丁:hxxps://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33127,用户也可通过 Microsoft Update 获取补丁更新:在 Windows 搜索中键入“检查更新”,或打开“设置”,选择“更新和安全”,然后单击“检查更新”。
解决建议
1.将组件 Microsoft Visual Studio 2022 version 17.2 升级至 17.2.17 及以上版本
2.将组件 Microsoft Visual Studio 2022 version 17.4 升级至 17.4.9 及以上版本
3.将组件 Microsoft Visual Studio 2022 version 17.6 升级至 17.6.5 及以上版本
4.将组件 microsoft.windowsdesktop.app.runtime.win-x86 升级至 7.0.9 及以上版本
5.将组件 microsoft.windowsdesktop.app.runtime.win-x86 升级至 6.0.20 及以上版本
6.将组件 microsoft.windowsdesktop.app.runtime.win-arm64 升级至 6.0.20 及以上版本
7.将组件 Microsoft Visual Studio 2022 version 17.0 升级至 17.0.23 及以上版本
8.官方已发布补丁:https://dotnet.microsoft.com/download/dotnet/6.0
9.将组件 microsoft.windowsdesktop.app.runtime.win-x64 升级至 7.0.9 及以上版本
10.将组件 microsoft.windowsdesktop.app.runtime.win-x64 升级至 6.0.20 及以上版本
11.将组件 microsoft.windowsdesktop.app.runtime.win-arm64 升级至 7.0.9 及以上版本
12.官方已发布补丁:https://dotnet.microsoft.com/download/dotnet/7.0
参考链接
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33127
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 microsoft .net * From
(including)
6.0.0 		Up to
(excluding)
6.0.20
运行在以下环境
应用 microsoft .net * From
(including)
7.0.0 		Up to
(excluding)
7.0.9
运行在以下环境
应用 microsoft visual_studio_2022 * From
(including)
17.0.0 		Up to
(excluding)
17.0.23
运行在以下环境
应用 microsoft visual_studio_2022 * From
(including)
17.2.0 		Up to
(excluding)
17.2.17
运行在以下环境
应用 microsoft visual_studio_2022 * From
(including)
17.4.0 		Up to
(excluding)
17.4.9
运行在以下环境
应用 microsoft visual_studio_2022 * From
(including)
17.6.0 		Up to
(excluding)
17.6.5
运行在以下环境
应用 microsoft visual_studio_2022 17.3 -
运行在以下环境
系统 alpine_3.18 dotnet6-build * Up to
(excluding)
7.0.109-r0
运行在以下环境
系统 alpine_3.19 dotnet6-build * Up to
(excluding)
7.0.109-r0
阿里云评分
5.9
  • 攻击路径
    远程
  • 攻击复杂度
    复杂
  • 权限要求
    普通权限
  • 影响范围
    全局影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
NVD-CWE-noinfo
阿里云安全产品覆盖情况