VDB-11494 · OSVDB 100856 · GCVE-100-11494

Microsoft .NET Framework 2.0 SP2/3.5.1/4/4.5/4.5.1 MAC Authentication 权限提升

CVSS 元临时分数	当前攻击价格 (≈)	CTI兴趣分数
4.9	$0-$5k	0.00

摘要信息

已经发现一个属于致命类别的漏洞，位于Microsoft .NET Framework 2.0 SP2/3.5.1/4/4.5/4.5.1。受此问题影响的是某些未知功能的组件:MAC Authentication。手动调试的不合法输入可导致权限提升。可以发起远程攻击，而且，有现成的漏洞利用。建议采用一个补丁来修正此问题。

已经发现一个属于致命类别的漏洞，位于Microsoft .NET Framework 2.0 SP2/3.5.1/4/4.5/4.5.1。受此问题影响的是某些未知功能的组件:MAC Authentication。手动调试的不合法输入可导致权限提升。漏洞的CWE定义是 CWE-269。此漏洞的脆弱性 2013-12-10公示人身份Insecure ASP.NET Site Configuration Could Allow Elevation of Privilege、公示人类型为Bulletin (Technet)所分享。请访问 technet.microsoft.com 下载该通告。供应商曾参与漏洞披露过程。

可以发起远程攻击，未提供技术细节。该漏洞的知名度低于平均水平，而且，有现成的漏洞利用。该漏洞利用已公开，攻击者可能会加以利用。目前，大约是 USD $0-$5k。 MITRE ATT&CK 项目认定攻击技术为 T1068。

它被宣布为概念验证。 0日漏洞的地下市场估价大致为$5k-$25k。

该补丁名为Insecure ASP.NET Site Configuration Could Allow Elevation of Privilege。您可以在technet.microsoft.com下载该漏洞修复补丁。建议采用一个补丁来修正此问题。该漏洞被披露后，立即发表过可能的缓解措施。