.NET Framework 遠端執行程式碼弱點
發行日期: 2022年12月13日
上次更新:2023年6月30日
- Assigning CNA
- Microsoft
- CVE.org link
- CVE-2022-41089
- 影響
- 遠端執行程式碼
- 最大嚴重性
- 重要
- CVSS Source
- Microsoft
- 向量字串
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
- Metrics
- CVSS:3.1 7.8 / 6.8基本分數量度:7.8 / 時間分數量度: 6.8
攻擊媒介
本機
攻擊複雜性
低
權限要求
無
使用者互動
必須
範圍
未變更
機密性
高
完整性
高
可用性
高
利用程式碼成熟度
未驗證
修復等級
官方修正程式
報告機密性
已確認
請參閱常見弱點評分系統,以取得有關這些量度定義的詳細資訊。
可擅用性
下列表格提供最初公開時此弱點的可擅用性評定。
- Publicly disclosed
- No
- Exploited
- No
- Exploitability assessment
- 利用可能性低
常見問題集
根據 CVSS 量度,攻擊媒介為本機 (AV:L)。為什麼 CVE 標題指出這是執行遠端程式碼?
標題中的遠端一詞,是指攻擊者的位置。這種類型的利用方式有時候稱為「執行任意程式碼」(ACE)。攻擊本身是在本機進行。
例如,當分數指出攻擊媒介會需要在本機進行和使用者互動時,這所描述的利用方式為,攻擊者透過社交工程,說服受害者從網站下載蓄意製作的檔案並予以開啟,以導致對其電腦進行本機攻擊。
致謝
- Eleftherios Panos with Nettitude
- Nick Landers with NetSPI
安全性更新
若要了解您軟體的支援生命週期,請參閱 Microsoft 支援週期網站。
- 09115.01
- 09115.01
- 04590.04
- 09115.01
- 04590.04
- 04010.02
- 4590.02
- 04590.04
- 04590.04
- 04590.02
- 04590.02
- 4590.03
- 09115.01
- 09115.01
- 09115.01
- 09115.01
- 09115.01
- 09115.01
- 04010.02
- 04010.03
- 04010.02
- 04010.03
- 04010.02
- 04010.03
- 04010.02
- 04010.03
- 04010.02
- 4010.03
- Monthly Rollup
- 04010.02
- 30729.8953
- 30729.8953
- 30729.8953
- 30729.8953
- 30729.8953
- 30729.8953
- 30729.8953
- 30729.8953
- 30729.8953
- 30729.8953
- 30729.8953
- 30729.8953
- 30729.8953
- 30729.8953
- 30729.8953
- 30729.8953
- 30729.8953
- 30729.8953
- 30729.8953
- 30729.8953
- 9115.01
- 09115.01
- 09115.01
- 09115.01
- 04590.02
- 4590.03
免責聲明
修訂
To address a known issue when after installing the December 13, 2022, updates for .NET Framework and .NET, users may have experienced issues with how WPF-based applications render XPS documents, Microsoft has released the June 2023 security updates for .NET Framework and for .NET. We recommend that customers install the June 2023 updates. Please note that if you used any workaround or mitigations for this issue, they are no longer needed, and we recommend you remove them. To remove either of the workarounds see the instructions for removal in the "Alternative Workaround" section of KB5022083 Change in how WPF-based applications render XPS documents.
Revised the Security Updates table to include PowerShell 7.2 and PowerShell 7.3 because these versions of PowerShell 7 are affected by this vulnerability. See https://github.com/PowerShell/Announcements/issues/37 for more information.
In the Security Updates table corrected the severity entry for Microsoft .NET Framework 3.5 AND 4.8.1 installed on Windows Server 2022. This is an informational change only. Customers who have successfully installed the update do not need to take any further action.
Information published.