Se ha identificado una vulnerabilidad en Microsoft .NET Framework, que está siendo activamente explotada, y que permite la divulgación de información sensible, facilitando a un atacante el acceso a datos confidenciales como nombres de servidor y cadenas de conexión. Las versiones afectadas incluyen .NET Framework 4.8.1 y anteriores, exponiendo a las aplicaciones desarrolladas en este entorno a riesgos significativos. Microsoft no proporciona una solución para mitigar esta vulnerabilidad, pero se recomienda aplicar prácticas de codificación segura, como evitar incluir información sensible en mensajes de error.
Recursos afectados
- Microsoft .NET Framework
Análisis técnico
- CVE-2024-29059: Se ha identificado una vulnerabilidad de divulgación de información en .NET Framework. Esta vulnerabilidad podría permitir que un atacante obtenga información sensible de la aplicación, como nombres de servidor, rutas de acceso, cadenas de conexión y otros datos confidenciales de configuración.
- CWE-209
- CVSS: 7.5
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
- Explotación: Detectada
Mitigación / Solución
Microsoft no ofrece una solución directa para esta vulnerabilidad. Se recomienda seguir las siguientes prácticas de codificación para mitigar el riesgo: Evitar incluir información sensible en mensajes de error personalizados. Implementar manejo de excepciones adecuado para evitar la filtración de información.
Referencias adicionales