Microsoft.Build.Tasks.Core 关键安全漏洞：.NET 欺骗漏洞 (CVSS 8) 需紧急降级至 15.9.30

一个严重的安全漏洞正迫使使用 Microsoft.Build.Tasks.Core 的 .NET 项目进行紧急且不寻常的版本回滚。该漏洞被标记为“.NET 欺骗漏洞”，其 CVSS 严重性评分高达 8 分（满分 10 分），属于高风险级别。更引人注目的是，修复方案并非升级到更高版本，而是要求将当前广泛使用的版本 17.12.50 降级到更旧的 15.9.30 版本。这种逆向操作在软件安全更新中极为罕见，暗示该漏洞可能存在于较新版本的核心逻辑中，且旧版本 15.9.30 是已知的安全基线。

受影响的根包是 Microsoft.Build.Tasks.Core，这是 .NET 构建系统的核心组件，被无数开发项目和持续集成/持续部署 (CI/CD) 流水线所依赖。自动化安全代理 OssSecurityAgent 已生成问题报告 (ID: 639119090076230780)，并显示“自动化修复正在进行中”。目前，相关的 CVE 编号尚未公布，这增加了漏洞细节的不透明性，但高严重性评分和明确的降级指令已构成紧迫的行动信号。

此漏洞对依赖自动化构建和部署的软件开发组织构成了直接的操作安全风险。欺骗漏洞可能允许攻击者篡改构建过程，注入恶意代码或破坏软件供应链的完整性。所有使用版本 17.12.50 的项目和系统都需要立即评估并执行降级。虽然自动化工具已开始介入，但手动验证和部署仍是关键，尤其是在复杂的生产环境中。此次事件再次凸显了核心开发工具链中的安全弱点可能带来的广泛影响。