Microsoft Security Advisory CVE-2025-55248: .NET信息泄露漏洞

漏洞详情

严重程度: 中等
CVSS评分: 5.7

执行摘要

微软发布此安全公告，提供有关.NET 8.0和.NET 9.0中一个漏洞的信息。该公告还指导开发人员如何更新其应用程序以消除此漏洞。

中间人（MITM）攻击者可能阻止客户端和SMTP服务器之间使用TLS，强制客户端通过未加密的连接发送数据。

公告

此问题的公告可在 dotnet/announcements#372 找到

缓解因素

微软尚未确定此漏洞的任何缓解因素。

受影响软件

任何运行在.NET 8.0.20或更早版本上的.NET 8.0应用程序
任何运行在.NET 9.0.9或更早版本上的.NET 9.0应用程序

受影响包

该漏洞影响任何使用以下受影响包版本的Microsoft .NET项目

.NET 9

包名	受影响版本	修复版本
Microsoft.NetCore.App.Runtime.linux-arm	>= 9.0.0, <= 9.0.9	9.0.10
Microsoft.NetCore.App.Runtime.linux-arm64	>= 9.0.0, <= 9.0.9	9.0.10
Microsoft.NetCore.App.Runtime.linux-musl-arm	>= 9.0.0, <= 9.0.9	9.0.10
Microsoft.NetCore.App.Runtime.linux-musl-arm64	>= 9.0.0, <= 9.0.9	9.0.10
Microsoft.NetCore.App.Runtime.linux-musl-x64	>= 9.0.0, <= 9.0.9	9.0.10
Microsoft.NetCore.App.Runtime.linux-x64	>= 9.0.0, <= 9.0.9	9.0.10
Microsoft.NetCore.App.Runtime.osx-arm64	>= 9.0.0, <= 9.0.9	9.0.10
Microsoft.NetCore.App.Runtime.osx-x64	>= 9.0.0, <= 9.0.9	9.0.10
Microsoft.NetCore.App.Runtime.win-arm	>= 9.0.0, <= 9.0.9	9.0.10
Microsoft.NetCore.App.Runtime.win-arm64	>= 9.0.0, <= 9.0.9	9.0.10
Microsoft.NetCore.App.Runtime.win-x64	>= 9.0.0, <= 9.0.9	9.0.10
Microsoft.NetCore.App.Runtime.win-x86	>= 9.0.0, <= 9.0.9	9.0.10

.NET 8

包名	受影响版本	修复版本
Microsoft.NetCore.App.Runtime.linux-arm	>= 8.0.0, <= 8.0.20	8.0.21
Microsoft.NetCore.App.Runtime.linux-arm64	>= 8.0.0, <= 8.0.20	8.0.21
Microsoft.NetCore.App.Runtime.linux-musl-arm	>= 8.0.0, <= 8.0.20	8.0.21
Microsoft.NetCore.App.Runtime.linux-musl-arm64	>= 8.0.0, <= 8.0.20	8.0.21
Microsoft.NetCore.App.Runtime.linux-musl-x64	>= 8.0.0, <= 8.0.20	8.0.21
Microsoft.NetCore.App.Runtime.linux-x64	>= 8.0.0, <= 8.0.20	8.0.21
Microsoft.NetCore.App.Runtime.osx-arm64	>= 8.0.0, <= 8.0.20	8.0.21
Microsoft.NetCore.App.Runtime.osx-x64	>= 8.0.0, <= 8.0.20	8.0.21
Microsoft.NetCore.App.Runtime.win-arm	>= 8.0.0, <= 8.0.20	8.0.21
Microsoft.NetCore.App.Runtime.win-arm64	>= 8.0.0, <= 8.0.20	8.0.21
Microsoft.NetCore.App.Runtime.win-x64	>= 8.0.0, <= 8.0.20	8.0.21
Microsoft.NetCore.App.Runtime.win-x86	>= 8.0.0, <= 8.0.20	8.0.21

常见问题解答

如何知道我是否受影响？

如果您有列出版本的运行时，或者受影响软件或受影响包中列出的受影响包，您就会受到此漏洞的影响。

如何修复此问题？

要修复此问题，请安装相应版本的.NET 9.0或.NET 8.0的最新版本。如果您通过Visual Studio安装了一个或多个.NET SDK，Visual Studio将提示您更新Visual Studio，这也会更新您的.NET SDK。

如果您的应用程序引用了易受攻击的包，请将包引用更新到修复版本。

您可以通过运行dotnet --info命令列出已安装的版本。您将看到类似以下的输出：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


.NET SDK:
 Version:           9.0.100
 Commit:            59db016f11
 Workload version:  9.0.100-manifests.3068a692
 MSBuild version:   17.12.7+5b8665660

Runtime Environment:
 OS Name:     Mac OS X
 OS Version:  15.2
 OS Platform: Darwin
 RID:         osx-arm64
 Base Path:   /usr/local/share/dotnet/sdk/9.0.100/

...（省略部分输出）

如果您使用.NET 8.0，应从 https://dotnet.microsoft.com/download/dotnet-core/8.0 下载并安装.NET 8.0.21运行时或.NET 8.0.318 SDK（适用于Visual Studio 2022 v17.10最新更新）
如果您使用.NET 9.0，应从 https://dotnet.microsoft.com/download/dotnet-core/9.0 下载并安装.NET 9.0.10运行时或.NET 9.0.111 SDK（适用于Visual Studio 2022 v17.12最新更新）

安装更新的运行时或SDK后，重新启动应用程序以使更新生效。

此外，如果您部署了针对任何受影响版本的自包含应用程序，这些应用程序也容易受到攻击，必须重新编译和重新部署。

技术特征

CVSS v3基础指标:

攻击向量：网络
攻击复杂度：低
所需权限：低
用户交互：需要
范围：未改变
机密性：高
完整性：无
可用性：无

弱点分类: CWE-326 - 加密强度不足

其他信息

报告安全问题

如果您在.NET 9.0或.NET 8.0中发现了潜在的安全问题，请将详细信息发送至secure@microsoft.com。报告可能符合Microsoft .NET Core & .NET 5赏金计划的条件。

支持

您可以在.NET GitHub组织中的GitHub上询问有关此问题的问题。主要仓库位于 https://github.com/dotnet/runtime。

修订记录:

V1.0（2025年10月14日）：公告发布

.NET信息泄露漏洞CVE-2025-55248技术分析与修复方案

微软发布.NET框架信息泄露漏洞安全公告，涉及中间人攻击可强制客户端通过未加密连接发送数据，影响.NET 8.0和9.0多个运行时版本，需升级至修复版本确保通信安全。