Microsoft .NET - CVE-2026-26127
Date de publication :
Il s’agit d’une vulnérabilité dans le traitement d’entrées Base64Url malformées au sein de .NET et de Microsoft.Bcl.Memory provoquant une lecture hors limites lors du décodage.
.NET est une plateforme de développement et d’exécution utilisée pour créer et faire tourner des applications sur Windows, Linux et macOS ; dans le cas présent, la vulnérabilité concerne le runtime .NET et le paquet NuGet Microsoft.Bcl.Memory.
Elle permet un déni de service à distance.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Déni de service (à distance)
Exploitation
CWE-125 : Out-of-bounds Read
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• .NET 9 versions antérieures à 9.0.14
• .NET 10 versions antérieures à 10.0.4
• Microsoft.Bcl.Memory versions antérieures à 9.0.14 dans la branche 9.0
• Microsoft.Bcl.Memory versions antérieures à 10.0.4 dans la branche 10.0
Solutions ou recommandations
• .NET 10 versions 10.0.4 et supérieures
• Microsoft.Bcl.Memory versions 9.0.14 et supérieures
• Microsoft.Bcl.Memory versions 10.0.4 et supérieures