This page collects WhisperX intelligence signals tagged #.NET. It is designed for humans, search engines, and AI agents: each item links to a canonical source-backed record with sector, source, timestamp, credibility, and exportable structured data.
微软 .NET 9.0 与 .NET 10.0 框架的核心组件中发现一个高危拒绝服务(DoS)漏洞。该漏洞源于 `Microsoft.Bcl.Memory` 库在处理畸形 Base64Url 输入时存在数组索引验证缺陷,导致越界读取。攻击者无需任何权限或用户交互,即可通过网络发送特制数据包,远程触发漏洞,导致目标应用程序资源耗尽、服务中断或崩溃。根据 CVSS 3.1 评分标准,该漏洞被评为 7.5 分(高危),影响评分为“高”,可利用性评分为“未定义”,修复复杂度为“官方修复”。 该漏洞被追踪为 CVE-2026-26127,其根本弱点被归类为 CWE-129(数组索引验证不当)和 CWE-125(越界读取)。漏洞影响所有平台和...
A critical security vulnerability in the widely-used AutoMapper library has been patched, forcing a major version jump from 12.0.1 to 15.1.3. The flaw, tracked as CVE-2026-32933, exposes applications to Denial of Service (DoS) attacks. The core issue lies in the library's handling of object mapping: when processing dee...
微软 .NET 核心组件 System.Text.Json 库被曝存在一个拒绝服务(DoS)漏洞,编号为 CVE-2024-43485。该漏洞影响 6.0.x 和 8.0.x 版本,可能允许攻击者通过特制的 JSON 输入导致应用程序崩溃或资源耗尽,从而中断服务。微软已发布安全公告,确认了这一漏洞的存在及其潜在影响。 此次漏洞的修复已通过依赖项更新实现,具体是将 System.Text.Json 从 6.0.7 版本升级至 6.0.10 版本。该更新由自动化依赖管理工具 Renovate 发起,更新记录显示其“置信度”较高,表明升级是解决此安全问题的推荐路径。GitHub 的漏洞警报系统直接关联了微软官方的安全公告,为开发团队提供...
A critical security vulnerability in the widely-used AutoMapper library exposes countless .NET applications to potential Denial of Service (DoS) attacks. The flaw, tracked as CVE-2026-32933, stems from the library's handling of deeply nested object graphs. During mapping operations, AutoMapper employs recursive method ...
Microsoft has disclosed a high-severity vulnerability within a core cryptographic component of its .NET, .NET Framework, and Visual Studio ecosystems. The flaw, tracked as CVE-2026-33116, resides in the `System.Security.Cryptography.Xml` namespace, specifically within the `EncryptedXml` class. An attacker can exploit t...
Microsoft has disclosed a high-severity security vulnerability, CVE-2026-32203, within the System.Security.Cryptography.Xml namespace of the .NET framework and Visual Studio. The flaw, a stack-based buffer overflow in the EncryptedXml class, grants an attacker the ability to launch a Denial of Service (DoS) attack. Wit...
Microsoft has disclosed a high-severity denial-of-service vulnerability, tracked as CVE-2026-33116, within a core cryptographic component of the .NET ecosystem. The flaw resides in the `System.Security.Cryptography.Xml` namespace, specifically within the `EncryptedXml` class. An unauthenticated remote attacker could ex...
微软在其核心的 .NET 开发框架中发现一个高危安全漏洞,允许攻击者通过网络进行欺骗攻击。该漏洞存在于 System.Net.Mail 组件中,当处理特制数据时,未经授权的攻击者可利用此漏洞实施欺骗。微软已发布安全公告,确认该漏洞影响 .NET 8.0、.NET 9.0 及 .NET 10.0 版本,并敦促所有使用受影响包版本的开发者立即采取行动。 根据官方公告,该漏洞被标记为 CVE-2026-32178,CVSS 3.1 评分为 7.5 分,属于“高危”级别。其攻击向量为网络,攻击复杂度低,且无需用户交互或特殊权限即可利用,可能导致信息泄露。该漏洞的根本原因是 CWE-138:特殊元素的不当中和。微软强调,此漏洞影响所有平台和...
一个已知的低严重性安全漏洞正通过 NPOI 2.8.0 的依赖链,悄然潜入 .NET 项目的构建流程。开发者报告,其构建服务器开始抛出明确的警告,指出 NPOI 所依赖的 `System.Security.Cryptography.Xml` 10.0.5 版本存在一个已公开的漏洞。这一警告并非孤立事件,而是通过 `dotnet nuget why` 命令清晰追溯到了 NPOI 库,揭示了从项目到 NPOI,再到问题加密包的完整传递路径。 该漏洞的详细信息已记录在 GitHub 安全公告中,编号为 GHSA-37gx-xxp4-5rgx。尽管当前评估为“低严重性”,但其在依赖链中的存在,意味着任何使用 NPOI 2.8.0 版本的 ...
NPOI 项目核心依赖库 `System.Security.Cryptography.Xml` 存在已知高危漏洞,迫使项目维护者紧急更新其依赖锁定策略。该漏洞影响广泛,因为 NPOI 的 `NPOI.OOXML` 库依赖此包提供数字签名支持。问题核心在于,即使项目指定了最低版本 `>= 8.0.2`,针对 .NET 10 的消费者仍会自动解析到同样存在漏洞的 `10.0.5` 版本,这是 .NET 10 SDK 的默认行为,导致安全补丁无法生效。 为解决此问题,NPOI 维护团队实施了双重修复方案。首先,在 `Directory.Packages.props` 中将中心化版本从 `8.0.2` 提升至已修复的 `8.0.3`,为所...
一个严重的安全漏洞正迫使使用 Microsoft.Build.Tasks.Core 的 .NET 项目进行紧急且不寻常的版本回滚。该漏洞被标记为“.NET 欺骗漏洞”,其 CVSS 严重性评分高达 8 分(满分 10 分),属于高风险级别。更引人注目的是,修复方案并非升级到更高版本,而是要求将当前广泛使用的版本 17.12.50 降级到更旧的 15.9.30 版本。这种逆向操作在软件安全更新中极为罕见,暗示该漏洞可能存在于较新版本的核心逻辑中,且旧版本 15.9.30 是已知的安全基线。 受影响的根包是 Microsoft.Build.Tasks.Core,这是 .NET 构建系统的核心组件,被无数开发项目和持续集成/持续部署 (...
微软的 Entity Framework 6.4.4 核心 NuGet 包被曝存在三个安全漏洞,其中最高严重性评分为 8.7 分(CVSS v3),且被标记为“可被利用”。这一发现源于对 GitHub 仓库 `DimaMend/vulnerable_net_core` 中特定提交的扫描,确认了 `entityframework.6.4.4.nupkg` 及其依赖项 `system.drawing.common.4.7.0.nupkg` 中的漏洞路径。这表明,使用此版本 Entity Framework 的 .NET 应用程序,特别是 ASP.NET Core 项目,可能面临直接的安全风险。 漏洞详情显示,这些安全缺陷并非孤立存在,...
A critical security vulnerability with a CVSS score of 6.8 has been identified in the widely used Microsoft.IdentityModel.Protocols.OpenIdConnect NuGet package, version 6.10.2. The flaw, flagged as unreachable by automated scanners, resides within the dependent library Microsoft.IdentityModel.JsonWebTokens.6.10.2.nupkg...
Microsoft has issued a security advisory for CVE-2022-21986, a Denial-of-Service vulnerability affecting .NET 6.0 and .NET 5.0 applications that use the Kestrel web server. The flaw allows remote attackers to crash or disable applications by sending specially crafted HTTP/2 and HTTP/3 requests. Security researchers are...