CVE-2013-1337 (CNNVD-201305-258)
中文标题:
Microsoft .NET Framework 身份验证绕过漏洞
英文标题:
Microsoft .NET Framework 4.5 does not properly create policy requirements for custom Windows Communi...
漏洞描述
中文描述:
Microsoft .NET Framework是美国微软(Microsoft)公司开发的一种全面且一致的编程模型,也是一个用于构建Windows、Windows Store、Windows Phone、Windows Server和Microsoft Azure的应用程序的开发平台。该平台包括C#和Visual Basic编程语言、公共语言运行库和广泛的类库。 当设置自定义WCF终结点身份验证时,Microsoft .NET Framework不正确地创建身份验证策略要求的方式中存在一个安全功能绕过漏洞。成功利用此漏洞的攻击者能够像经过身份验证的用户那样访问终结点功能,这样使攻击者能够窃取信息或在经过身份验证的用户的上下文中执行任何操作。以下版本存在漏洞:Microsoft .NET Framework 4.5。
英文描述:
Microsoft .NET Framework 4.5 does not properly create policy requirements for custom Windows Communication Foundation (WCF) endpoint authentication in certain situations involving passwords over HTTPS, which allows remote attackers to bypass authentication by sending queries to an endpoint, aka "Authentication Bypass Vulnerability."
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| microsoft | .net_framework | 4.5 | - | - |
cpe:2.3:a:microsoft:.net_framework:4.5:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
CVSS评分详情
AV:N/AC:L/Au:N/C:P/I:P/A:P
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2013-1337 |
2025-11-11 15:18:34 | 2025-11-11 07:33:32 |
| NVD | nvd_CVE-2013-1337 |
2025-11-11 14:54:14 | 2025-11-11 07:42:20 |
| CNNVD | cnnvd_CNNVD-201305-258 |
2025-11-11 15:09:21 | 2025-11-11 07:50:43 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 授权问题
- cnnvd_id: 未提取 -> CNNVD-201305-258
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- severity: SeverityLevel.MEDIUM -> SeverityLevel.HIGH
- cvss_score: 未提取 -> 7.5
- cvss_vector: NOT_EXTRACTED -> AV:N/AC:L/Au:N/C:P/I:P/A:P
- cvss_version: NOT_EXTRACTED -> 2.0
- affected_products_count: 0 -> 1
- data_sources: ['cve'] -> ['cve', 'nvd']