Microsoft Security Advisory CVE-2025-55248: .NET信息泄露漏洞

漏洞详情

严重程度: 中等
CVSS评分: 5.7

执行摘要

微软发布此安全公告，提供有关.NET 8.0和.NET 9.0中一个漏洞的信息。中间人（MITM）攻击者可能阻止客户端和SMTP服务器之间使用TLS，强制客户端通过未加密的连接发送数据。

受影响软件

任何运行在.NET 8.0.20或更早版本上的.NET 8.0应用程序
任何运行在.NET 9.0.9或更早版本上的.NET 9.0应用程序

受影响包

.NET 9

包名称	受影响版本	修复版本
Microsoft.NetCore.App.Runtime.linux-arm	>= 9.0.0, <= 9.0.9	9.0.10
Microsoft.NetCore.App.Runtime.linux-arm64	>= 9.0.0, <= 9.0.9	9.0.10
Microsoft.NetCore.App.Runtime.linux-musl-arm	>= 9.0.0, <= 9.0.9	9.0.10
Microsoft.NetCore.App.Runtime.linux-musl-arm64	>= 9.0.0, <= 9.0.9	9.0.10
Microsoft.NetCore.App.Runtime.linux-musl-x64	>= 9.0.0, <= 9.0.9	9.0.10
Microsoft.NetCore.App.Runtime.linux-x64	>= 9.0.0, <= 9.0.9	9.0.10
Microsoft.NetCore.App.Runtime.osx-arm64	>= 9.0.0, <= 9.0.9	9.0.10
Microsoft.NetCore.App.Runtime.osx-x64	>= 9.0.0, <= 9.0.9	9.0.10
Microsoft.NetCore.App.Runtime.win-arm	>= 9.0.0, <= 9.0.9	9.0.10
Microsoft.NetCore.App.Runtime.win-arm64	>= 9.0.0, <= 9.0.9	9.0.10
Microsoft.NetCore.App.Runtime.win-x64	>= 9.0.0, <= 9.0.9	9.0.10
Microsoft.NetCore.App.Runtime.win-x86	>= 9.0.0, <= 9.0.9	9.0.10

.NET 8

包名称	受影响版本	修复版本
Microsoft.NetCore.App.Runtime.linux-arm	>= 8.0.0, <= 8.0.20	8.0.21
Microsoft.NetCore.App.Runtime.linux-arm64	>= 8.0.0, <= 8.0.20	8.0.21
Microsoft.NetCore.App.Runtime.linux-musl-arm	>= 8.0.0, <= 8.0.20	8.0.21
Microsoft.NetCore.App.Runtime.linux-musl-arm64	>= 8.0.0, <= 8.0.20	8.0.21
Microsoft.NetCore.App.Runtime.linux-musl-x64	>= 8.0.0, <= 8.0.20	8.0.21
Microsoft.NetCore.App.Runtime.linux-x64	>= 8.0.0, <= 8.0.20	8.0.21
Microsoft.NetCore.App.Runtime.osx-arm64	>= 8.0.0, <= 8.0.20	8.0.21
Microsoft.NetCore.App.Runtime.osx-x64	>= 8.0.0, <= 8.0.20	8.0.21
Microsoft.NetCore.App.Runtime.win-arm	>= 8.0.0, <= 8.0.20	8.0.21
Microsoft.NetCore.App.Runtime.win-arm64	>= 8.0.0, <= 8.0.20	8.0.21
Microsoft.NetCore.App.Runtime.win-x64	>= 8.0.0, <= 8.0.20	8.0.21
Microsoft.NetCore.App.Runtime.win-x86	>= 8.0.0, <= 8.0.20	8.0.21

修复指南

如何确定是否受影响？

如果您的运行时版本在受影响列表中，或者使用了受影响软件或受影响包中列出的任何包，您就会受到此漏洞的影响。

如何修复问题？

要修复此问题，请安装相应版本的.NET 9.0或.NET 8.0的最新版本：

如果使用.NET 8.0，请从https://dotnet.microsoft.com/download/dotnet-core/8.0 下载并安装.NET 8.0.21运行时或.NET 8.0.318 SDK
如果使用.NET 9.0，请从https://dotnet.microsoft.com/download/dotnet-core/9.0 下载并安装.NET 9.0.10运行时或.NET 9.0.111 SDK

安装更新的运行时或SDK后，重新启动应用程序以使更新生效。

检查当前版本

运行dotnet --info命令可以列出已安装的版本：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


.NET SDK:
 Version:           9.0.100
 Commit:            59db016f11

Runtime Environment:
 OS Name:     Mac OS X
 OS Version:  15.2
 OS Platform: Darwin
 RID:         osx-arm64
 Base Path:   /usr/local/share/dotnet/sdk/9.0.100/

技术细节

弱点类型: CWE-326 - 加密强度不足
攻击向量: 网络
攻击复杂度: 低
所需权限: 低
用户交互: 需要
影响范围: 未改变
机密性影响: 高
完整性影响: 无
可用性影响: 无

其他信息

报告安全问题

如果您在.NET 9.0或.NET 8.0中发现了潜在的安全问题，请将详细信息发送至secure@microsoft.com。报告可能符合Microsoft .NET Core & .NET 5赏金计划的条件。

支持

您可以在.NET GitHub组织中的GitHub上询问有关此问题的问题。主要仓库位于https://github.com/dotnet/runtime。公告仓库（https://github.com/dotnet/Announcements）将包含此公告作为问题，并将包含指向讨论问题的链接。

.NET信息泄露漏洞CVE-2025-55248深度解析

微软发布安全公告CVE-2025-55248，披露.NET 8.0和9.0版本中存在信息泄露漏洞。中间人攻击者可强制客户端通过未加密连接发送数据，影响多个平台运行时包。文章详细列出受影响版本和修复方案。