.NET 및 Visual Studio 원격 코드 실행 취약성
릴리스 날짜: 2023년 2월 14일
마지막 업데이트: 2023년 6월 30일
- Assigning CNA
- Microsoft
- CVE.org link
- CVE-2023-21808
- 영향
- 원격 코드 실행
- 최대 심각도
- 중요
- Weakness
- CVSS Source
- Microsoft
- 벡터 문자열
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
- Metrics
- CVSS:3.1 7.8 / 6.8기본 점수 메트릭: 7.8 / 임시 점수 메트릭: 6.8
공격 벡터
로컬
공격 복잡도
낮음
필요한 권한
없음
사용자 상호 작용
필수 항목
범위
변경되지 않음
기밀성
높음
무결성
높음
가용성
높음
익스플로잇 코드 완성도
증명되지 않음
교정 수준
공식적인 수정
보고 신뢰도
확인됨
이러한 메트릭의 정의에 관한 자세한 내용은 CVSS(Common Vulnerability Scoring System)를 참조하세요.
악용 가능성
다음 표는 원본 게시 당시의 이 취약성에 대한 악용 가능성 평가를 제공합니다.
- Publicly disclosed
- No
- Exploited
- No
- Exploitability assessment
- 악용 가능성 낮음
FAQ
CVSS 스코어에 따르면, 공격 벡터는 로컬입니다(AV:L). 왜 CVE 타이틀이 이것을 원격 코드 실행으로 인식하나요?
타이틀에서 원격은 공격자의 위치를 지칭합니다. 이런 종류의 공격은 때로 임의 코드 실행(ACE)으로 지칭되기도 합니다. 공격 자체가 로컬로 이루어집니다. 이는 취약성을 악용하려면 공격자 또는 공격 대상자가 로컬 컴퓨터에서 코드를 실행해야 함을 의미합니다.
CVSS 메트릭에 따라 여러 점수가 있습니다. 제품마다 CVE 점수와 심각도가 다른 이유는 무엇인가요?
기호를 읽고 구문 분석하는 방식으로 인해 제품에 따라 점수가 다릅니다. Visual Studio에는 기호 서버를 자동으로 쿼리하는 기능이 있지만 .NET은 디스크에 있는 기호만 사용하므로 사용자가 기호를 수동으로 쿼리해야 합니다.
승인
- goodbyeselene
보안 업데이트
사용 중인 소프트웨어에 대한 지원 수명 주기를 확인하려면 Microsoft 지원 수명 주기를 참조하세요.
- 12.0.40700.0
- 14.0.27555.0
- 17.2.13
- 17.4.5
- 15.9.52
- 17.0.19
- 16.11.24
- 10.0.09139.02
- 10.0.04614.05
- 10.0.14393.5717
- 4.8.04614.05
- 4.8.04614.03
- 10.0.04614.06
- 10.0.04614.06
- 4.8.4614.08
- 4.8.4614.07
- 10.0.10240.19747
- 10.0.10240.19747
- 4.7.04038.06
- 4.7.4038.05
- 4.7.04038.06
- 4.7.4038.05
- 10.0.04614.06
- 10.0.14393.5717
- 10.0.04614.05
- 10.0.14393.5717
- 10.0.04614.05
- 10.0.04614.05
- 10.0.04614.06
- 10.0.14393.5717
- 10.0.04614.06
- 4.7.04038.06
- 4.7.4038.05
- 4.7.04038.06
- 4.7.4038.05
- 10.0.09139.02
- 10.0.09139.02
- 10.0.09139.02
- 10.0.09139.02
- 10.0.09139.02
- 10.0.09139.02
- 10.0.09139.02
- 10.0.09139.02
고지 사항
수정 내역
To address a known issue when after installing the February 14, 2023, security updates for .NET Framework and .NET, users may have experienced issues with how WPF-based applications render XPS documents, Microsoft has released the June 2023 security updates for .NET Framework and for .NET. We recommend that customers install the June 2023 updates. Please note that if you used any workaround or mitigations for this issue, they are no longer needed, and we recommend you remove them. To remove either of the workarounds see the instructions for removal in the "Alternative Workaround" section of KB5022083 Change in how WPF-based applications render XPS documents.
In the Security Updates table, added Visual Studio 2013 Update 5 and Visual Studio 2015 Update 3 as they are affected by this vulnerability. Microsoft strongly recommends that customers install the updates to be fully protected from the vulnerability.
Microsoft has rereleased KB5022498 to address a known issue where customers who installed the .NET Framework 4.8 February cumulative update (KB5022502), then updgraded to .NET Framework 4.8.1 and subsequently scanned for updates were unable to install KB5022498. Customers who were unable to install KB5022498 should rescan for updates and install the update. Customers who have already successfully installed KB5022498 do not need to take any further action.
Revised the Security Updates table to include PowerShell 7.2 because this version of PowerShell 7 is affected by this vulnerability. See https://github.com/PowerShell/Announcements/issues/38 for more information.
Information published.