偵測

Plugin

關於 Plugin 系列

指標

攻擊指標 (IoA)

曝險指標 (IoE)

適用於 Microsoft .NET Core SDK 的安全性更新（2026 年 5 月）

high Nessus Plugin ID 314680

語言:

概要

遠端 Windows 主機受到 .NET Core SDK 弱點影響

說明

遠端主機上安裝的測試產品版本比測試版本舊，因此，會受到廠商公告中所提及的多個弱點影響。

- 當 .NET Core 不當處理特製檔案時，就存在竄改弱點。成功利用此弱點的攻擊者可將任意檔案和目錄寫入受影響系統上的特定位置。不過，攻擊者對檔案和目錄的目的地會有有限度的控制力。若要惡意探索弱點，攻擊者必須將特製的檔案傳送至易受攻擊的系統。安全性更新可確保 .NET Core 正確處理檔案，藉此修正弱點。（CVE-2026-32175）

- .NET 中的堆積型緩衝區溢位允許未經授權的攻擊者在本機提高權限。
(CVE-2026-32177)

- .NET 中的不當輸入驗證允許未經授權的攻擊者在本機提高權限。
(CVE-2026-35433)

- ASP.NET Core 中具有無法連線退出條件的迴圈（「無限迴圈」）允許未經授權的攻擊者拒絕透過網路提供的服務。（CVE-2026-42899）

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

請更新 .NET Core SDK、移除易受影響的套件並參閱廠商公告。

另請參閱

https://dotnet.microsoft.com/download/dotnet/8.0

https://dotnet.microsoft.com/download/dotnet/9.0

https://dotnet.microsoft.com/download/dotnet/10.0

http://www.nessus.org/u?214a6d42

http://www.nessus.org/u?82c5adde

http://www.nessus.org/u?67e4c1e6

http://www.nessus.org/u?3fcacdd3

https://github.com/dotnet/announcements/issues/396

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32175

https://github.com/dotnet/announcements/issues/399

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32177

https://github.com/dotnet/announcements/issues/398

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-35433

https://github.com/dotnet/announcements/issues/397

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42899

https://support.microsoft.com/help/5093446

https://support.microsoft.com/help/5093447

https://support.microsoft.com/help/5093448

Plugin 詳細資訊

嚴重性: High

ID: 314680

檔案名稱: smb_nt_ms26_may_dotnet_core_sdk.nasl

版本: 1.3

類型: Local

代理程式: windows

系列: Windows

已發布: 2026/5/14

已更新: 2026/5/15

組態: 啟用 Paranoid 模式

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.3

CVSS v2

風險因素: Medium

基本分數: 6.8

時間性分數: 5

媒介: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:P

CVSS 評分資料來源: CVE-2026-35433

CVSS v3

風險因素: High

基本分數: 7.3

時間性分數: 6.4

媒介: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:L

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:microsoft:.net_core

必要的 KB 項目: installed_sw/.NET Core SDK Windows, Settings/ParanoidReport

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2026/5/12

弱點發布日期: 2026/5/12

參考資訊

CVE: CVE-2026-32175, CVE-2026-32177, CVE-2026-35433, CVE-2026-42899

IAVA: 2026-A-0460, 2026-A-0463, 2026-A-0474

MSFT: MS26-5093446, MS26-5093447, MS26-5093448

MSKB: 5093446, 5093447, 5093448