La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ha añadido una reciente vulnerabilidad corregida en los productos .NET y Visual Studio de Microsoft a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV), citando evidencia de explotación activa.
Identificada como CVE-2023-38180 (puntuación CVSS: 7.5), esta vulnerabilidad de alta gravedad está relacionada con un caso de denegación de servicio (DoS) que afecta a .NET y Visual Studio. Microsoft la abordó como parte de sus actualizaciones del Martes de Parches de agosto de 2023, enviadas a principios de esta semana, y la etiquetó con una evaluación de "Más Probable de Explotación".
Aunque los detalles exactos sobre la naturaleza de la explotación no están claros, el fabricante de Windows ha reconocido la existencia de un código de prueba de concepto (PoC) en su aviso. También mencionó que los ataques que aprovechan esta vulnerabilidad pueden llevarse a cabo sin privilegios adicionales ni interacción del usuario.
"El código de prueba de concepto para explotar está disponible, o una demostración de ataque no es práctica para la mayorÃa de los sistemas", dijo la compañÃa. "El código o la técnica no son funcionales en todas las situaciones y pueden requerir una modificación sustancial por parte de un atacante hábil".
Las versiones afectadas del software incluyen ASP.NET Core 2.1, .NET 6.0, .NET 7.0, Microsoft Visual Studio 2022 versión 17.2, Microsoft Visual Studio 2022 versión 17.4 y Microsoft Visual Studio 2022 versión 17.6.
Para mitigar los riesgos potenciales, CISA ha recomendado a las agencias del Poder Ejecutivo Federal Civil (FCEB) aplicar las soluciones proporcionadas por el proveedor para la vulnerabilidad antes del 30 de agosto de 2023.
¿Quieres saber más?