漏洞信息 漏洞名称 反序列化不可信数据 影响范围 受影响包: singooocms.utility 受影响版本: [0, ] 漏洞详情 CVE编号: CVE-2022-0749 CWE编号: CWE-502 首次添加: Snyk 严重程度: 7.4 (高危) 概述 SinGooCMS.Utility 是一个工具集合,包括配置、文件、日期、数据、序列化、反射、图像处理、网络、缓存、Web 相关、加密和解密、压缩、类扩展等工具,几乎涵盖了开发所需的所有工具要求!支持 netstandard2.1 和 .net framework 4.6.1。 受影响版本的此包易受反序列化不可信数据攻击。由于没有适当的限制或类型绑定,可以被攻击者利用。 修复建议 受影响版本没有修复版本。 漏洞详情 反序列化不可信数据 (CWE-502) 是当应用程序反序列化不可信数据而没有充分验证导致数据的有效性时,允许攻击者控制状态或执行流。 参考链接 GitHub Issue Vulnerable Code CVSS Base Scores Snyk 攻击向量 (AV): 网络 攻击复杂度 (AC): 高 所需权限 (PR): 无 用户交互 (UI): 无 范围 (S): 无影响 保密性 (C): 无 完整性 (I): 高 可用性 (A): 高 NVD 9.8 (严重) 其他信息 Snyk ID: SNYK-DOTNET-SINGOOCMSUTILITY-2312979 发布日期: 2022年2月28日 披露日期: 2021年12月8日 报告人: Keyang Yin, zpbrent(zhou), peng@shu)