发布日期：2019-09-11
更新日期：2019-09-16

受影响系统：

Microsoft ASP.NET Core 3.0
Microsoft ASP.NET Core 2.2
Microsoft ASP.NET Core 2.1

描述：

---

CVE(CAN) ID: CVE-2019-1302

ASP.NET Core 是 Microsoft 第一个具有跨平台能力的 Web 开发框架。

当使用易受攻击的项目模板创建 ASP.NET Core Web 应用程序时，该应用若未能正确审查 Web 请求，在实现中存在特权提升漏洞。成功利用此漏洞的攻击者可以执行内容注入攻击，并在登录用户的安全性上下文中运行脚本。要利用此漏洞，攻击者可能需要向用户发送含恶意链接的电子邮件。或者，攻击者可能会使用聊天客户端以社交方式诱使用户单击恶意链接。但是，在任何情况下，若要利用此漏洞，用户都必须单击攻击者恶意设计的链接。

<*来源：Ian Routledge (@ediblecode)
  *>

建议：

---

厂商补丁：

Microsoft
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1302

浏览次数：1141
严重程度：0（网友投票）