目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-520 .NET误配置:使用伪装 类漏洞列表 2

CWE-520 .NET误配置:使用伪装 类弱点 2 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-520是.NET配置不当导致的权限提升漏洞。攻击者利用此缺陷,通过启用模拟功能以客户端用户身份执行代码,从而绕过应用层的认证与访问控制检查,获取操作系统或文件系统的更高权限。开发者应避免在生产环境中启用不必要的模拟机制,严格遵循最小权限原则,并显式配置应用程序池身份,以限制潜在的攻击面。

MITRE CWE 官方描述
CWE:CWE-520 .NET 配置错误:使用模拟(Impersonation) 允许 .NET 应用程序以潜在提升的权限级别运行,从而访问底层操作系统和文件系统,这可能带来危险并导致各种形式的攻击。 .NET 服务器应用程序可选择以经过客户端身份验证的用户的身份执行。此功能的设计意图是绕过 .NET 应用程序代码内的身份验证和访问控制检查。身份验证由底层 Web 服务器(Microsoft Internet Information Services, IIS)完成,该服务器将经过身份验证的令牌或未经身份验证的匿名令牌传递给 .NET 应用程序。应用程序使用该令牌模拟客户端,然后依赖 NTFS 目录和文件中的设置来控制访问。模拟功能使运行 .NET 应用程序的服务器上的应用程序能够在经过身份验证和授权的用户上下文中执行代码并访问资源。
常见影响 (1)
Access ControlGain Privileges or Assume Identity
缓解措施 (1)
OperationRun the application with limited privilege to the underlying operating and file system.
CVE ID标题CVSS风险等级Published
CVE-2026-2450 upKeeper Instant Privilege Access 安全漏洞 — upKeeper Instant Privilege Access 9.8 -2026-04-14
CVE-2019-25608 Iperius Backup 安全漏洞 — Iperius Backup 8.4 High2026-03-22

CWE-520(.NET误配置:使用伪装) 是常见的弱点类别,本平台收录该类弱点关联的 2 条 CVE 漏洞。