CVE-2023-36049: Vulnérabilité d'écriture/deletion de fichiers arbitraires par injection CRLF dans Microsoft .NET

Une vulnérabilité d'exécution de commande à distance a été identifiée dans le framework .NET de Microsoft et Visual Studio, qui est causée par une validation incorrecte des paramètres de commande FTP et des requêtes URI FTP. Cette vulnérabilité permet à un attaquant distant d'écrire ou de supprimer des fichiers dans le contexte du serveur FTP en envoyant des requêtes malveillantes. Le framework .NET met en œuvre une classe FtpControlStream pour gérer les connexions de contrôle FTP de base, mais elle échoue à valider si les paramètres incluent des caractères CRLF. De même, la fonction FtpWebRequest échoue à valider si l'argument URI contient des caractères CRLF. Le vecteur d'attaque dépend de la manière dont les fonctions .NET vulnérables sont utilisées dans les applications FTP. Pour détecter une attaque exploitant cette vulnérabilité, les appareils de détection doivent surveiller et analyser tout le trafic FTP et inspecter pour détecter plusieurs commandes FTP envoyées dans un paquet. Microsoft a résolu cette vulnérabilité en publiant un correctif en novembre, qui a été révisé plusieurs fois pour inclure les versions 7.2, 7.3 et 7.4 de PowerShell comme plates-formes affectées. Il est recommandé d'appliquer le correctif du vendeur pour résoudre complètement cette vulnérabilité.