exploitDog

GHSA-6xh7-4v2w-36q6

Опубликовано: 16 окт. 2018

Источник: github

Github: Прошло ревью

CVSS3: 7.5

Описание

ASP.NET Core fails to properly validate web requests

A denial of service vulnerability exists when the ASP.NET Core fails to properly validate web requests. NOTE: Microsoft has not commented on third-party claims that the issue is that the TextEncoder.EncodeCore function in the System.Text.Encodings.Web package in ASP.NET Core Mvc before 1.0.4 and 1.1.x before 1.1.3 allows remote attackers to cause a denial of service by leveraging failure to properly calculate the length of 4-byte characters in the Unicode Non-Character range.

Ссылки

Пакеты

Наименование

Microsoft.AspNetCore.Mvc

nuget

Затронутые версииВерсия исправления

>= 1.0.0, < 1.0.4

1.0.4

Наименование

Microsoft.AspNetCore.Mvc

nuget

Затронутые версииВерсия исправления

>= 1.1.0, < 1.1.3

1.1.3

Наименование

Microsoft.AspNetCore.Mvc.Core

nuget

Затронутые версииВерсия исправления

>= 1.0.0, < 1.0.4

1.0.4

Наименование

Microsoft.AspNetCore.Mvc.Core

nuget

Затронутые версииВерсия исправления

>= 1.1.0, < 1.1.3

1.1.3

Наименование

System.Net.Http

nuget

Затронутые версииВерсия исправления

= 4.1.1

4.1.2

Наименование

System.Net.Http

nuget

Затронутые версииВерсия исправления

= 4.3.1

4.3.2

Наименование

System.Text.Encodings.Web

nuget

Затронутые версииВерсия исправления

= 4.0.0

4.0.1

Наименование

System.Text.Encodings.Web

nuget

Затронутые версииВерсия исправления

= 4.3.0

4.3.1

Наименование

System.Net.Http.WinHttpHandler

nuget

Затронутые версииВерсия исправления

= 4.0.0

4.0.1

Наименование

System.Net.Http.WinHttpHandler

nuget

Затронутые версииВерсия исправления

>= 4.3.0, < 4.5.4

4.5.4

Наименование

System.Net.Security

nuget

Затронутые версииВерсия исправления

= 4.0.0

4.0.1

Наименование

System.Net.Security

nuget

Затронутые версииВерсия исправления

= 4.3.0

4.3.1

Наименование

System.Net.WebSockets.Client

nuget

Затронутые версииВерсия исправления

= 4.0.0

4.0.1

Наименование

System.Net.WebSockets.Client

nuget

Затронутые версииВерсия исправления

= 4.3.0

4.3.1

Наименование

Microsoft.AspNetCore.Mvc.Abstractions

nuget

Затронутые версииВерсия исправления

>= 1.0.0, < 1.0.4

1.0.4

Наименование

Microsoft.AspNetCore.Mvc.Abstractions

nuget

Затронутые версииВерсия исправления

>= 1.1.0, < 1.1.3

1.1.3

Наименование

Microsoft.AspNetCore.Mvc.ApiExplorer

nuget

Затронутые версииВерсия исправления

>= 1.0.0, < 1.0.4

1.0.4

Наименование

Microsoft.AspNetCore.Mvc.ApiExplorer

nuget

Затронутые версииВерсия исправления

>= 1.1.0, < 1.1.3

1.1.3

Наименование

Microsoft.AspNetCore.Mvc.Cors

nuget

Затронутые версииВерсия исправления

>= 1.0.0, < 1.0.4

1.0.4

Наименование

Microsoft.AspNetCore.Mvc.Cors

nuget

Затронутые версииВерсия исправления

>= 1.1.0, < 1.1.3

1.1.3

Наименование

Microsoft.AspNetCore.Mvc.DataAnnotations

nuget

Затронутые версииВерсия исправления

>= 1.0.0, < 1.0.4

1.0.4

Наименование

Microsoft.AspNetCore.Mvc.DataAnnotations

nuget

Затронутые версииВерсия исправления

>= 1.1.0, < 1.1.3

1.1.3

Наименование

Microsoft.AspNetCore.Mvc.Formatters.Json

nuget

Затронутые версииВерсия исправления

>= 1.0.0, < 1.0.4

1.0.4

Наименование

Microsoft.AspNetCore.Mvc.Formatters.Json

nuget

Затронутые версииВерсия исправления

>= 1.1.0, < 1.1.3

1.1.3

Наименование

Microsoft.AspNetCore.Mvc.Formatters.Xml

nuget

Затронутые версииВерсия исправления

>= 1.0.0, < 1.0.4

1.0.4

Наименование

Microsoft.AspNetCore.Mvc.Formatters.Xml

nuget

Затронутые версииВерсия исправления

>= 1.1.0, < 1.1.3

1.1.3

Наименование

Microsoft.AspNetCore.Mvc.Localization

nuget

Затронутые версииВерсия исправления

>= 1.0.0, < 1.0.4

1.0.4

Наименование

Microsoft.AspNetCore.Mvc.Localization

nuget

Затронутые версииВерсия исправления

>= 1.1.0, < 1.1.3

1.1.3

Наименование

Microsoft.AspNetCore.Mvc.Razor.Host

nuget

Затронутые версииВерсия исправления

>= 1.0.0, < 1.0.4

1.0.4

Наименование

Microsoft.AspNetCore.Mvc.Razor.Host

nuget

Затронутые версииВерсия исправления

>= 1.1.0, < 1.1.3

1.1.3

Наименование

Microsoft.AspNetCore.Mvc.Razor

nuget

Затронутые версииВерсия исправления

>= 1.0.0, < 1.0.4

1.0.4

Наименование

Microsoft.AspNetCore.Mvc.Razor

nuget

Затронутые версииВерсия исправления

>= 1.1.0, < 1.1.3

1.1.3

Наименование

Microsoft.AspNetCore.Mvc.TagHelpers

nuget

Затронутые версииВерсия исправления

>= 1.0.0, < 1.0.4

1.0.4

Наименование

Microsoft.AspNetCore.Mvc.TagHelpers

nuget

Затронутые версииВерсия исправления

>= 1.1.0, < 1.1.3

1.1.3

Наименование

Microsoft.AspNetCore.Mvc.ViewFeatures

nuget

Затронутые версииВерсия исправления

>= 1.0.0, < 1.0.4

1.0.4

Наименование

Microsoft.AspNetCore.Mvc.ViewFeatures

nuget

Затронутые версииВерсия исправления

>= 1.1.0, < 1.1.3

1.1.3

Наименование

Microsoft.AspNetCore.Mvc.WebApiCompatShim

nuget

Затронутые версииВерсия исправления

>= 1.0.0, < 1.0.4

1.0.4

Наименование

Microsoft.AspNetCore.Mvc.WebApiCompatShim

nuget

Затронутые версииВерсия исправления

>= 1.1.0, < 1.1.3

1.1.3

EPSS

Процентиль: 93%

0.11122

Средний

7.5 High

CVSS3

CVE ID

Дефекты

CWE-20

Связанные уязвимости

CVE-2017-0247

CVSS3: 7.5

nvd

больше 8 лет назад

A denial of service vulnerability exists when the ASP.NET Core fails to properly validate web requests. NOTE: Microsoft has not commented on third-party claims that the issue is that the TextEncoder.EncodeCore function in the System.Text.Encodings.Web package in ASP.NET Core Mvc before 1.0.4 and 1.1.x before 1.1.3 allows remote attackers to cause a denial of service by leveraging failure to properly calculate the length of 4-byte characters in the Unicode Non-Character range.

EPSS

Процентиль: 93%

0.11122

Средний

7.5 High

CVSS3

CVE ID

Дефекты

CWE-20