CRITICAL✓ PATCH🇬🇧 English

CVE-2024-43498

RCE w .NET i Visual Studio — krytyczna podatność umożliwiająca zdalne wykonanie kodu

CVSS 9.8v3.1pub. 2024-11-12upd. 2024-11-19

Krytyczna podatność w platformie .NET oraz Visual Studio 2022 umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na podatnym systemie. Ocena CVSS 9.8 wskazuje na wyjątkowo wysokie ryzyko — exploit nie wymaga żadnej interakcji użytkownika ani posiadania uprawnień.

Pokaż oryginał (EN)

.NET and Visual Studio Remote Code Execution Vulnerability

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jest jako CWE-843 (Type Confusion), co oznacza błąd polegający na nieprawidłowej interpretacji typu danych przez środowisko uruchomieniowe .NET. Atakujący może dostarczyć specjalnie spreparowane dane wejściowe, które powodują nieprawidłowe przetwarzanie typów obiektów, prowadząc do wykonania niezamierzonego kodu. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika, co znacząco zwiększa jego potencjalny zasięg.

Skutki

Skuteczne wykorzystanie podatności daje atakującemu pełną kontrolę nad systemem — możliwe jest uzyskanie poufnych danych, modyfikacja zasobów oraz całkowite naruszenie dostępności systemu (pełna triada CIA: poufność, integralność, dostępność).

Mitygacja

Należy niezwłocznie zastosować patche udostępnione przez Microsoft w ramach aktualizacji z listopada 2024 (Patch Tuesday, 12.11.2024). Szczegółowe informacje o dostępnych wersjach poprawek znajdują się w poradniku Microsoft Security Response Center pod adresem: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43498

Kogo dotyczy

Microsoft .NET, Microsoft Visual Studio 2022 działające na systemach Microsoft Windows, Apple macOS oraz Linux. Szczegółowe wersje wskazane w referencjach producenta (MSRC).

Uwagi

Podatność opublikowana 12 listopada 2024 r. w ramach cyklicznego Patch Tuesday firmy Microsoft. Dotyczy wyjątkowo szerokiego zakresu platform (Windows, macOS, Linux), co znacząco zwiększa potencjalną powierzchnię ataku w środowiskach wieloplatformowych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apple macOS

    OS
    Apple
    wszystkie wersje
  • Linux Kernel

    OS
    Linux
    wszystkie wersje
  • Microsoft .net

    APP
    Microsoft
    9.0.0
  • Microsoft Visual Studio 2022

    APP
    Microsoft
    17.10.0 – 17.10.9 (bez)17.11.0 – 17.11.6 (bez)17.6 – 17.6.21 (bez)17.8 – 17.8.16 (bez)
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-43300CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2025-31201CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple: Obejście Pointer Authentication w iOS, macOS i innych platformach