漏洞详情
Microsoft安全公告CVE-2025-55248 | .NET信息泄露漏洞
执行摘要
微软发布此安全公告,旨在提供有关.NET 8.0和.NET 9.0中一个漏洞的信息。本公告还指导开发人员如何更新其应用程序以消除此漏洞。
中间人(MITM)攻击者可能阻止客户端和SMTP服务器之间使用TLS,强制客户端通过未加密的连接发送数据。
公告
此问题的公告可在 dotnet/announcements#372 找到
缓解因素
微软尚未确定此漏洞的任何缓解因素。
受影响软件
- 任何运行在.NET 8.0.20或更早版本上的.NET 8.0应用程序
- 任何运行在.NET 9.0.9或更早版本上的.NET 9.0应用程序
受影响包
如果任何Microsoft .NET项目使用下面列出的任何受影响包版本,则该漏洞会影响该项目
.NET 9
| 包名 | 受影响版本 | 修补版本 |
|---|---|---|
| Microsoft.NetCore.App.Runtime.linux-arm | >= 9.0.0, <= 9.0.9 | 9.0.10 |
| Microsoft.NetCore.App.Runtime.linux-arm64 | >= 9.0.0, <= 9.0.9 | 9.0.10 |
| Microsoft.NetCore.App.Runtime.linux-musl-arm | >= 9.0.0, <= 9.0.9 | 9.0.10 |
| Microsoft.NetCore.App.Runtime.linux-musl-arm64 | >= 9.0.0, <= 9.0.9 | 9.0.10 |
| Microsoft.NetCore.App.Runtime.linux-musl-x64 | >= 9.0.0, <= 9.0.9 | 9.0.10 |
| Microsoft.NetCore.App.Runtime.linux-x64 | >= 9.0.0, <= 9.0.9 | 9.0.10 |
| Microsoft.NetCore.App.Runtime.osx-arm64 | >= 9.0.0, <= 9.0.9 | 9.0.10 |
| Microsoft.NetCore.App.Runtime.osx-x64 | >= 9.0.0, <= 9.0.9 | 9.0.10 |
| Microsoft.NetCore.App.Runtime.win-arm | >= 9.0.0, <= 9.0.9 | 9.0.10 |
| Microsoft.NetCore.App.Runtime.win-arm64 | >= 9.0.0, <= 9.0.9 | 9.0.10 |
| Microsoft.NetCore.App.Runtime.win-x64 | >= 9.0.0, <= 9.0.9 | 9.0.10 |
| Microsoft.NetCore.App.Runtime.win-x86 | >= 9.0.0, <= 9.0.9 | 9.0.10 |
.NET 8
| 包名 | 受影响版本 | 修补版本 |
|---|---|---|
| Microsoft.NetCore.App.Runtime.linux-arm | >= 8.0.0, <= 8.0.20 | 8.0.21 |
| Microsoft.NetCore.App.Runtime.linux-arm64 | >= 8.0.0, <= 8.0.20 | 8.0.21 |
| Microsoft.NetCore.App.Runtime.linux-musl-arm | >= 8.0.0, <= 8.0.20 | 8.0.21 |
| Microsoft.NetCore.App.Runtime.linux-musl-arm64 | >= 8.0.0, <= 8.0.20 | 8.0.21 |
| Microsoft.NetCore.App.Runtime.linux-musl-x64 | >= 8.0.0, <= 8.0.20 | 8.0.21 |
| Microsoft.NetCore.App.Runtime.linux-x64 | >= 8.0.0, <= 8.0.20 | 8.0.21 |
| Microsoft.NetCore.App.Runtime.osx-arm64 | >= 8.0.0, <= 8.0.20 | 8.0.21 |
| Microsoft.NetCore.App.Runtime.osx-x64 | >= 8.0.0, <= 8.0.20 | 8.0.21 |
| Microsoft.NetCore.App.Runtime.win-arm | >= 8.0.0, <= 8.0.20 | 8.0.21 |
| Microsoft.NetCore.App.Runtime.win-arm64 | >= 8.0.0, <= 8.0.20 | 8.0.21 |
| Microsoft.NetCore.App.Runtime.win-x64 | >= 8.0.0, <= 8.0.20 | 8.0.21 |
| Microsoft.NetCore.App.Runtime.win-x86 | >= 8.0.0, <= 8.0.20 | 8.0.21 |
常见问题解答
如何知道我是否受到影响?
如果您有一个列出版本的运行时,或者受影响软件或受影响包中列出的受影响包,您就会受到此漏洞的影响。
如何修复此问题?
要修复此问题,请安装相应版本的.NET 9.0或.NET 8.0的最新版本。如果您通过Visual Studio安装了一个或多个.NET SDK,Visual Studio将提示您更新Visual Studio,这也将更新您的.NET SDK。
如果您的应用程序引用了易受攻击的包,请将包引用更新到修补版本。
您可以通过运行dotnet --info命令列出已安装的版本。您将看到类似以下的输出:
|
|
如果您使用.NET 8.0,应从https://dotnet.microsoft.com/download/dotnet-core/8.0 下载并安装.NET 8.0.21运行时或.NET 8.0.318 SDK(适用于Visual Studio 2022 v17.10最新更新)。
如果您使用.NET 9.0,应从https://dotnet.microsoft.com/download/dotnet-core/9.0 下载并安装.NET 9.0.10运行时或.NET 9.0.111 SDK(适用于Visual Studio 2022 v17.12最新更新)。
安装更新的运行时或SDK后,重新启动应用程序以使更新生效。
此外,如果您部署了针对任何受影响版本的自包含应用程序,这些应用程序也容易受到攻击,必须重新编译和重新部署。
其他信息
报告安全问题
如果您在.NET 9.0或.NET 8.0中发现了潜在的安全问题,请将详细信息发送至secure@microsoft.com。报告可能符合Microsoft .NET Core & .NET 5赏金计划的条件。Microsoft .NET赏金计划的详细信息(包括条款和条件)位于https://aka.ms/corebounty。
支持
您可以在GitHub的.NET GitHub组织中询问有关此问题的问题。主要仓库位于https://github.com/dotnet/runtime。公告仓库(https://github.com/dotnet/Announcements)将包含此公告作为问题,并将包含指向讨论问题的链接。您可以在链接的讨论问题中提问。
技术指标
严重程度: 中等 CVSS总体评分: 5.7/10
CVSS v3基本指标:
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 低
- 用户交互: 需要
- 范围: 未改变
- 机密性: 高
- 完整性: 无
- 可用性: 无
弱点: CWE-326 - 加密强度不足
CVE ID: CVE-2025-55248 GHSA ID: GHSA-gwq6-fmvp-qp68
修订记录:
- V1.0(2025年10月14日):公告发布