Microsoft .NET Core のセキュリティ更新プログラム (2026 年 7 月)

medium Nessus プラグイン ID 326863

概要

Microsoft .NET Core のリモートホストへのインストールは複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされているMicrosoft .NET Coreにセキュリティ更新プログラムがありません。したがって、ベンダーのアドバイザリに記載されている複数の脆弱性の影響を受けます。

- .NET における制限またはスロットリングのないリソースの割り当てにより、認証されていない攻撃者がネットワーク上でサービスを拒否する可能性があります。(CVE-2026-47302、 CVE-2026-50525、 CVE-2026-50651)

- .NET の暗号署名の検証が不適切なために、権限のない攻撃者がネットワーク上でセキュリティ機能をバイパスする可能性があります。(CVE-2026-47304)

- .NET Framework における指定したタイプの入力の検証が不適切なため、認証されていない攻撃者がネットワーク上でサービスを拒否する可能性があります。(CVE-2026-50524)

- .NET におけるファイルアクセス前の不適切なリンク解決(「link following」)により、権限のある攻撃者がローカルで改ざんを実行する可能性があります。(CVE-2026-50526)

- .NET Framework におけるスタックベースのバッファオーバーフローにより、認証されていない攻撃者がネットワーク上でサービスを拒否する可能性があります。(CVE-2026-50527)

- .NET における不適切な承認により、承認されていない攻撃者がネットワーク上でセキュリティ機能をバイパスする可能性があります。(CVE-2026-50528)

- .NET Framework における保護メカニズムの障害により、権限のない攻撃者がローカルでコードを実行することが可能です。
(CVE-2026-50646)

- .NET Framework における制限またはスロットリングのないリソースの割り当てにより、権限のない攻撃者がネットワーク上でサービスを拒否する可能性があります。(CVE-2026-50648)

- .NET の信頼できないデータの逆シリアル化により、権限のない攻撃者がローカルでコードを実行することが可能になります。
(CVE-2026-50649)

- .NET Framework におけるコード生成の不適切なコントロール(「コードインジェクション」)により、権限のない攻撃者がローカルで権限を昇格することが可能です。(CVE-2026-50650)

- .NET における出力の不適切なエンコーディングまたはエスケープにより、認証された攻撃者がネットワーク上でなりすましを行う可能性があります。(CVE-2026-50659)

- .NET Coreで互換性のない型(「型の取り違え(Type Confusion」)を使用してリソースにアクセスすることにより、権限のない攻撃者がネットワーク経由でサービスを拒否する可能性があります。(CVE-2026-57108)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

.NET Core を更新し、脆弱なパッケージを削除し、ベンダーのアドバイザリを参照してください。

参考資料

https://dotnet.microsoft.com/en-us/download/dotnet/10.0

https://dotnet.microsoft.com/en-us/download/dotnet/8.0

https://dotnet.microsoft.com/en-us/download/dotnet/9.0

https://github.com/dotnet/announcements/issues/408

https://github.com/dotnet/announcements/issues/410

https://github.com/dotnet/announcements/issues/412

https://github.com/dotnet/announcements/issues/413

https://github.com/dotnet/announcements/issues/414

https://github.com/dotnet/announcements/issues/415

https://github.com/dotnet/announcements/issues/416

https://github.com/dotnet/announcements/issues/417

https://github.com/dotnet/announcements/issues/418

https://github.com/dotnet/announcements/issues/419

https://github.com/dotnet/announcements/issues/420

https://github.com/dotnet/announcements/issues/421

https://github.com/dotnet/announcements/issues/422

https://github.com/dotnet/announcements/issues/423

https://support.microsoft.com/kb/5104032

https://support.microsoft.com/kb/5104033

https://support.microsoft.com/kb/5104034

http://www.nessus.org/u?666098d4

http://www.nessus.org/u?d1fdace6

http://www.nessus.org/u?f2dfe152

プラグインの詳細

深刻度: Medium

ID: 326863

ファイル名: smb_nt_ms26_jul_dotnet_core.nasl

バージョン: 1.2

タイプ: Local

エージェント: windows

ファミリー: Windows

公開日: 2026/7/14

更新日: 2026/7/15

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.9

パーセンタイル: 58.12

CVSS v2

リスクファクター: High

基本値: 8.5

現状値: 6.3

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:C/A:N

CVSS スコアのソース: CVE-2026-50528

CVSS v3

リスクファクター: Medium

基本値: 6.5

現状値: 5.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2026-50659

脆弱性情報

CPE: cpe:/a:microsoft:.net_core

必要な KB アイテム: installed_sw/.NET Core Windows

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/7/14

脆弱性公開日: 2026/7/14

参照情報

CVE: CVE-2026-47302, CVE-2026-47304, CVE-2026-50524, CVE-2026-50525, CVE-2026-50527, CVE-2026-50528, CVE-2026-50646, CVE-2026-50648, CVE-2026-50649, CVE-2026-50650, CVE-2026-50651, CVE-2026-50659, CVE-2026-57108