2025-0911: ASP.NET Core, Microsoft Visual Studio, Visual Studio Code, Visual Studio Tools for Applications: Mehrere Schwachstellen ermöglichen u. a. die Eskalation von Privilegien

Historie:

Version 1 (2025-04-09 17:55): Neues Advisory
Version 2 (2025-04-14 14:23): Der Hersteller ergänzt die Schwachstelle CVE-2025-32726 betreffend Visual Studio Code.

Betroffene Software

Entwicklung
Office
Systemsoftware

Betroffene Plattformen

Microsoft

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Benutzerrechte zu erlangen und Privilegien zu eskalieren.

Für die Ausnutzung der meisten Schwachstellen sind übliche Privilegien erforderlich. Die meisten Schwachstellen erfordern die Interaktion eines Benutzers.

Im Rahmen des Microsoft Patchtags im April 2025 informiert Microsoft über die Schwachstellen und veröffentlicht Sicherheitsupdates. Es stehen die Visual Studio 2022 Versionen 17.13.6, 17.10.13 und 17.8.20, die Microsoft Visual Studio Tools for Applications 2019 Version 16.0 und 2022 Version 17.0 sowie die Microsoft ASP.NET Core Versionen 9.0.5 und 8.0.16 als Sicherheitsupdates zur Verfügung.

Die verfügbaren Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Developer Tools' und die entsprechenden 'Visual Studio'-Produkte bzw. 'ASP.NET Core' identifiziert werden.

Schwachstellen:

CVE-2025-20570

Schwachstelle in Visual Studio Code ermöglicht Privilegieneskalation

CVE-2025-26682

Schwachstelle in ASP.NET Core und Microsoft Visual Studio ermöglicht Denial-of-Service-Angriff

CVE-2025-29802

Schwachstelle in Microsoft Visual Studio ermöglicht Erlangen von Benutzerrechten

CVE-2025-29803

Schwachstelle in Visual Studio Tools for Applications ermöglicht Erlangen von Benutzerrechten

CVE-2025-29804

Schwachstelle in Microsoft Visual Studio ermöglicht Privilegieneskalation

CVE-2025-32726