BDU:2024-00281

Опубликовано: 09 янв. 2024

Источник: fstec

CVSS3: 8.7

CVSS2: 7.1

EPSS Низкий

Описание

Уязвимость библиотек Microsoft.Data.Sqlclient (MDS) и System.Data.Sqlclient (SDS) программных платформ Microsoft .NET Framework и .NET связана с ошибками в настройках безопасности. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и реализовать атаку типа «человек посередине»

Вендор

Microsoft Corp.

Наименование ПО

Microsoft .NET Framework

Microsoft Visual Studio

.NET

Microsoft SQL Server

Microsoft.Data.SqlClient

System.Data.SqlClient

Версия ПО

2.0 SP2 (Microsoft .NET Framework)

3.5 (Microsoft .NET Framework)

4.7 (Microsoft .NET Framework)

4.6.2 (Microsoft .NET Framework)

4.7.1 (Microsoft .NET Framework)

4.7.2 (Microsoft .NET Framework)

4.8 (Microsoft .NET Framework)

2022 17.2 (Microsoft Visual Studio)

7.0 (.NET)

6.0 (.NET)

2022 17.4 (Microsoft Visual Studio)

2022 17.6 (Microsoft Visual Studio)

4.8.1 (Microsoft .NET Framework)

2022 (GDR) (Microsoft SQL Server)

8.0 (.NET)

2022 (CU 10) (Microsoft SQL Server)

2022 17.8 (Microsoft Visual Studio)

5.1 (Microsoft.Data.SqlClient)

4.0 (Microsoft.Data.SqlClient)

3.1 (Microsoft.Data.SqlClient)

2.1 (Microsoft.Data.SqlClient)

до 4.8.6 (System.Data.SqlClient)

Тип ПО

ПО виртуализации/ПО виртуального программно-аппаратного средства

Прикладное ПО информационных систем

СУБД

Операционные системы и аппаратные платформы

Microsoft Corp. Windows Server 2008 R2 SP1

Microsoft Corp. Windows Server 2008 SP2

Microsoft Corp. Windows Server 2012

Microsoft Corp. Windows Server 2012 R2

Microsoft Corp. Windows 10 1607

Microsoft Corp. Windows Server 2016

Microsoft Corp. Windows Server 2012 R2 Server Core installation

Microsoft Corp. Windows Server 2016 Server Core installation

Microsoft Corp. Windows Server 2008 R2 SP1 Server Core installation

Microsoft Corp. Windows Server 2012 Server Core installation

Microsoft Corp. Windows 10 1809

Microsoft Corp. Windows Server 2019

Microsoft Corp. Windows Server 2019 Server Core installation

Microsoft Corp. Windows 10 1809

Microsoft Corp. Windows Server 2022

Microsoft Corp. Windows Server 2022 Server Core installation

Microsoft Corp. Windows 10 21H2

Microsoft Corp. Windows 11 22H2

Microsoft Corp. Windows 10 22H2

Microsoft Corp. Windows 11 21H2

Microsoft Corp. Windows 11 23H2

Microsoft Corp. Windows Server 2022 23H2 Server Core installation

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,7)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-0056

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-0056
CVE

EPSS

Процентиль: 56%

0.00346

Низкий

8.7 High

CVSS3

7.1 High

CVSS2

Связанные уязвимости

CVE-2024-0056

CVSS3: 7.5

redhat

больше 1 года назад

Microsoft.Data.SqlClient and System.Data.SqlClient SQL Data Provider Security Feature Bypass Vulnerability

CVE-2024-0056

CVSS3: 8.7

nvd

больше 1 года назад

Microsoft.Data.SqlClient and System.Data.SqlClient SQL Data Provider Security Feature Bypass Vulnerability

CVE-2024-0056

CVSS3: 8.7

msrc

больше 1 года назад

Microsoft.Data.SqlClient and System.Data.SqlClient SQL Data Provider Security Feature Bypass Vulnerability

GHSA-98g6-xh36-x2p7

CVSS3: 8.7

github

больше 1 года назад

Microsoft.Data.SqlClient and System.Data.SqlClient vulnerable to SQL Data Provider Security Feature Bypass

RLSA-2024:0158

rocky

больше 1 года назад

Important: .NET 6.0 security update

EPSS

Процентиль: 56%

0.00346

Низкий

8.7 High

CVSS3

7.1 High

CVSS2