NuGet 包管理器篡改漏洞

CVE编号

CVE-2019-0757

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-03-12

漏洞描述

Linux和Mac版的NuGet包管理器中存在一个篡改漏洞，允许经过身份验证的攻击者修改NuGet包的文件夹结构，即“NuGet包管理器篡改漏洞”。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://access.redhat.com/errata/RHSA-2019:1259
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2019-0757
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0757

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	microsoft	.net_core	1.0	-
	运行在以下环境
	应用	microsoft	.net_core	1.1	-
	运行在以下环境
	应用	microsoft	.net_core	2.1	-
	运行在以下环境
	应用	microsoft	.net_core	2.2	-
	运行在以下环境
	应用	microsoft	.net_core_sdk	1.1	-
	运行在以下环境
	应用	microsoft	.net_core_sdk	2.1.500	-
	运行在以下环境
	应用	microsoft	.net_core_sdk	2.2.100	-
	运行在以下环境
	应用	microsoft	nuget	4.3.1	-
	运行在以下环境
	应用	microsoft	nuget	4.4.2	-
	运行在以下环境
	应用	microsoft	nuget	4.5.2	-
	运行在以下环境
	应用	microsoft	nuget	4.6.3	-
	运行在以下环境
	应用	microsoft	nuget	4.7.2	-
	运行在以下环境
	应用	microsoft	nuget	4.8.2	-
	运行在以下环境
	应用	microsoft	nuget	4.9.4	-
	运行在以下环境
	应用	microsoft	visual_studio_2017	-	-
	运行在以下环境
	应用	mono-project	mono_framework	5.18.0.223	-
	运行在以下环境
	应用	mono-project	mono_framework	5.20.0	-
	运行在以下环境
	系统	centos_8	dotnet-runtime-2.1	*		Up to (excluding) 2.1.11-2.el8_0
	运行在以下环境
	系统	oracle_8	dotnet	*		Up to (excluding) 2.1.507-2.el8_0
	运行在以下环境
	系统	oracle_8	dotnet-host	*		Up to (excluding) 2.1.507-2.el8_0
	运行在以下环境
	系统	oracle_8	dotnet-host-fxr-2.1	*		Up to (excluding) 2.1.507-2.el8_0
	运行在以下环境
	系统	oracle_8	dotnet-runtime-2.1	*		Up to (excluding) 2.1.507-2.el8_0
	运行在以下环境
	系统	oracle_8	dotnet-sdk-2.1	*		Up to (excluding) 2.1.507-2.el8_0
	运行在以下环境
	系统	oracle_8	dotnet-sdk-2.1.5xx	*		Up to (excluding) 2.1.507-2.el8_0
	运行在以下环境
	系统	redhat_8	dotnet-runtime-2.1	*		Up to (excluding) 2.1.11-2.el8_0
查看完整数据

阿里云评分 2.7

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID 漏洞类型 NVD-CWE-noinfo