ASP.NET Core 远程执行代码漏洞

CVE编号

CVE-2020-0603

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-01-14

漏洞描述

当该软件无法处理内存中的对象时，ASP.NET Core软件中将存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以在当前用户的上下文中运行任意代码，也称为“ ASP.NET Core远程代码执行”漏洞”。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0603

参考链接
https://access.redhat.com/errata/RHSA-2020:0130
https://access.redhat.com/errata/RHSA-2020:0134
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-0603
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0603

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	microsoft	asp.net_core	2.1	-
	运行在以下环境
	应用	microsoft	asp.net_core	3.0	-
	运行在以下环境
	应用	microsoft	asp.net_core	3.1	-
	运行在以下环境
	系统	centos_8	dotnet-hostfxr-3.0	*		Up to (excluding) 3.0.102-2.el8_1
	运行在以下环境
	系统	oracle_8	aspnetcore-runtime-3.0	*		Up to (excluding) 3.0.2-2.0.1.el8_1
	运行在以下环境
	系统	oracle_8	aspnetcore-targeting-pack-3.0	*		Up to (excluding) 3.0.2-2.0.1.el8_1
	运行在以下环境
	系统	oracle_8	dotnet	*		Up to (excluding) 3.0.2-2.0.1.el8_1
	运行在以下环境
	系统	oracle_8	dotnet-apphost-pack-3.0	*		Up to (excluding) 3.0.2-2.0.1.el8_1
	运行在以下环境
	系统	oracle_8	dotnet-host	*		Up to (excluding) 3.0.2-2.0.1.el8_1
	运行在以下环境
	系统	oracle_8	dotnet-hostfxr-3.0	*		Up to (excluding) 3.0.2-2.0.1.el8_1
	运行在以下环境
	系统	oracle_8	dotnet-runtime-3.0	*		Up to (excluding) 3.0.2-2.0.1.el8_1
	运行在以下环境
	系统	oracle_8	dotnet-sdk-3.0	*		Up to (excluding) 3.0.2-2.0.1.el8_1
	运行在以下环境
	系统	oracle_8	dotnet-targeting-pack-3.0	*		Up to (excluding) 3.0.2-2.0.1.el8_1
	运行在以下环境
	系统	oracle_8	dotnet-templates-3.0	*		Up to (excluding) 3.0.2-2.0.1.el8_1
	运行在以下环境
	系统	oracle_8	netstandard-targeting-pack-2.1	*		Up to (excluding) 3.0.2-2.0.1.el8_1
	运行在以下环境
	系统	redhat_8	dotnet-hostfxr-3.0	*		Up to (excluding) 3.0.102-2.el8_1
查看完整数据

阿里云评分 3.1

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID 漏洞类型 CWE-119 内存缓冲区边界内操作的限制不恰当 CWE-787 跨界内存写