Entity Framework 6.4.4 曝出高危漏洞，最高严重性达 8.7 分且可被利用

微软的 Entity Framework 6.4.4 核心 NuGet 包被曝存在三个安全漏洞，其中最高严重性评分为 8.7 分（CVSS v3），且被标记为“可被利用”。这一发现源于对 GitHub 仓库 `DimaMend/vulnerable_net_core` 中特定提交的扫描，确认了 `entityframework.6.4.4.nupkg` 及其依赖项 `system.drawing.common.4.7.0.nupkg` 中的漏洞路径。这表明，使用此版本 Entity Framework 的 .NET 应用程序，特别是 ASP.NET Core 项目，可能面临直接的安全风险。

漏洞详情显示，这些安全缺陷并非孤立存在，而是通过项目依赖链可达。扫描报告明确指出，漏洞存在于特定提交（692d7a90b62dbe37131ca50c8c726495b4c0f88b）的代码库中，路径为 `/vulnerable_asp_net_core/vulnerable_asp_net_core.csproj`。这意味着任何基于此版本构建或引用了该漏洞库的软件供应链都可能受到影响。虽然报告未详细说明漏洞的具体利用方式，但“可被利用”的状态和高严重性评分，足以引发对相关项目安全状况的紧急审查。

对于依赖 Entity Framework 6.4.4 进行数据访问的广大 .NET 开发团队和企业而言，此事件构成了直接的供应链安全压力。开发人员需要立即检查项目依赖，评估受影响范围，并关注微软官方是否会发布修复版本或安全补丁。在修复可用之前，项目可能面临被利用的风险，尤其是在公开的或面向外部的应用程序中。这起事件再次凸显了第三方依赖库管理在软件开发安全中的关键作用。