CVE-2024-20656 — Vulnetix

Try Vulnetix Request Demo

CVE-2024-20656 PUBLISHED CVSS 8.699999809265137 HIGH

Es existieren mehrere Schwachstellen in den Microsoft Developer Tools. Die Fehler bestehen aufgrund der Verwendung eines bösartigen JSON Web Encryption (JWE)-Tokens mit einer hohen Komprimierungsrate, der Verwendung eines speziell präparierten X.509-Zertifikats, das absichtlich einen Fehler im Build einführt oder verursacht, eines Machine-in-the-Middle (MITM)-Angriffs und anderer Schwachstellen, die noch nicht im Detail beschrieben sind. Ein Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, einen Denial-of-Service-Zustand zu verursachen und Sicherheitsmaßnahmen zu umgehen. Die erfolgreiche Ausnutzung einer dieser Schwachstellen erfordert erhöhte Rechte.

EPSS 54.33% · 98.0th percentile

Risk Scores

CVSS v4.0

8.699999809265137

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

EPSS Score

54.33%

98.0th percentile

Affected Products

Vendor	Product	Versions
Hitachi	Hitachi Storage
Microsoft	Microsoft .NET Framework 4.7.1
Microsoft	Microsoft Visual Studio 2015 Update 3
Microsoft	Microsoft Visual Studio 2022 version 17.6
Microsoft	Microsoft .NET Framework 2.0 SP2
Microsoft	Microsoft .NET Framework 3.5
Microsoft	Microsoft .NET Framework 4.8
Microsoft	Microsoft .NET Framework 8.0
Microsoft	Microsoft Visual Studio 2022 version 17.2
Microsoft	Microsoft Visual Studio 2019 version 16.11 (includes 16.0 - 16.10)
Microsoft	Microsoft .NET Framework 6.0
Ubuntu	Ubuntu Linux
Microsoft	Microsoft .NET Framework 4.7.2
Microsoft	Microsoft .NET Framework 4.7
Microsoft	Microsoft .NET Framework 7.0
Microsoft	Microsoft .NET Framework 4.8.1
Microsoft	Microsoft Visual Studio 2022 version 17.8
Microsoft	Microsoft .NET Framework 4.6.2
Microsoft	Microsoft .NET Framework 3.0 SP2
Oracle	Oracle Linux

…and 3 more

Timeline

Jan 9, 2024 CVE Published
Jan 18, 2024 EPSS Score
Mar 13, 2024 EPSS Score
Apr 9, 2024 EPSS Score
Jun 3, 2024 EPSS Score
Jul 1, 2024 EPSS Score
Aug 25, 2024 EPSS Score
Sep 29, 2024 EPSS Score
Oct 4, 2024 Coalition ESS Score
Oct 12, 2024 EPSS Score
Nov 4, 2024 EPSS Score
Nov 21, 2024 CVE Updated

References

https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0039.json advisory
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0039 advisory
https://msrc.microsoft.com/update-guide advisory
https://access.redhat.com/errata/RHSA-2024:0158 advisory
https://access.redhat.com/errata/RHSA-2024:0150 advisory
https://access.redhat.com/errata/RHSA-2024:0157 advisory
https://access.redhat.com/errata/RHSA-2024:0151 advisory
https://access.redhat.com/errata/RHSA-2024:0152 advisory
https://access.redhat.com/errata/RHSA-2024:0156 advisory
https://ubuntu.com/security/notices/USN-6578-1 advisory
https://www.mdsec.co.uk/2024/01/cve-2024-20656-local-privilege-escalation-in-vsstandardcollectorservice150-service/ advisory
http://linux.oracle.com/errata/ELSA-2024-0156.html advisory
https://access.redhat.com/errata/RHSA-2024:0255 advisory
https://linux.oracle.com/errata/ELSA-2024-0151.html advisory
https://linux.oracle.com/errata/ELSA-2024-0152.html advisory
https://linux.oracle.com/errata/ELSA-2024-0157.html advisory
http://linux.oracle.com/errata/ELSA-2024-0158.html advisory
https://linux.oracle.com/errata/ELSA-2024-0150.html advisory
https://www.hitachi.com/products/it/storage-solutions/sec_info/2024/01.html advisory

Open in Interactive Console →