CVE-2024-21409 | .NET, .NET Framework, and Visual Studio Remote Code Execution Vulnerability

.NET, .NET Framework, and Visual Studio Remote Code Execution Vulnerability

公開: 2024-04-09 最終更新: 2026-06-17 Assigner: [email protected] ソース: [email protected]

総合評価: CVE-2024-21409 は中リスク(53.1/100)。CVSS 深刻度は高。悪用される可能性が高い(EPSS 2.51%、83 パーセンタイル) 推奨対応: 影響資産を整理し、修補計画に組み込んでください。

リスクは変動します。再評価に基づき、本ページの表示内容を更新しています。

CVE-2024-21409 の EPSS(Exploit Prediction Scoring System)スコア

EPSS は日次で悪用されやすさの相対度合いを推定します。パーセンタイルは採点済み CVE の中での相対位置(高いほど相対的に深刻)を示します。

# 日付 旧 EPSS スコア 新 EPSS スコア Δ(新 − 旧)
1 2026-06-15 57.62% 2.51% -55.11%
2 2026-05-11 51.34% 57.62% +6.28%
3 2026-04-28 51.34%

EPSS の全履歴 (全 26 件)

CVE-2024-21409 の CVSS(Common Vulnerability Scoring System)指標

この CVE の CVSS 指標。

ベーススコア バージョン 深刻度 ベクトル 悪用しやすさ 影響 スコアの出典
7.3 3.1 HIGH
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H クリックして展開
攻撃ベクター (AV:L)
対象ホスト上でコードを実行できること、または別ユーザーの誤操作・悪意ある操作が前提になる。
攻撃の複雑さ (AC:L)
攻撃者が条件を満たせば、レース条件や珍しい構成に依存せずに再現しやすい。
必要な権限 (PR:L)
一般ユーザー権限があれば足り、管理者(root 相当)は不要。
ユーザーの関与 (UI:R)
インストールの許可、設定変更、悪意あるファイルの実行など、人の一度の判断がトリガーになる。
スコープ (S:U)
影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。
機密性への影響 (C:H)
広範な機微データの読み取りや持ち出しが現実的。
完全性への影響 (I:H)
権限の奪取や広範なログ改竄など、システムの信頼根拠を揺るがす改ざんが現実的。
可用性への影響 (A:H)
長時間のサービス停止、データ損壊による復旧不能に近い状態など、利用者に著しい不便を与えうる。
1.3 5.9 [email protected]

CVE-2024-21409 の弱点分類(列挙)

CVE-2024-21409 の GitHub Security Advisory

GHSA-6qmx-42h2-j8h6 · 深刻度: high · エコシステム: nuget — .NET Elevation of Privilege Vulnerability

CVE-2024-21409 の OS トラッカー

vendor priority summary link
alpine high CVE-2024-21409: 5 source package rows (dotnet6-build, dotnet6-runtime, dotnet7-build, dotnet7-runtime, dotnet8-runtime); 12 state rows across 5 repos (3.19-community, 3.20-community, 3.21-community, 3.22-community, edge-community); fixed 12, open 0. https://security.alpinelinux.org/vuln/CVE-2024-21409
redhat medium https://access.redhat.com/security/cve/CVE-2024-21409
ubuntu medium CVE-2024-21409 medium priority: Ubuntu including 3 source packages (dotnet6, dotnet7, dotnet8), 12 status rows across 4 suites (focal, jammy, mantic, upstream): not-affected 6, DNE 3, released 3. https://ubuntu.com/security/CVE-2024-21409

CVE-2024-21409 の影響を受けるソフトウェア/構成

ベンダー 製品 バージョン 生の CPE
microsoft .net_framework 3.5 cpe:2.3:a:microsoft:.net_framework:3.5:-:*:*:*:*:*:*
microsoft .net_framework 4.8.1 cpe:2.3:a:microsoft:.net_framework:4.8.1:*:*:*:*:*:*:*
microsoft .net >= 6.0.0, < 6.0.29 cpe:2.3:a:microsoft:.net:*:*:*:*:*:*:*:*
microsoft .net >= 7.0.0, < 7.0.18 cpe:2.3:a:microsoft:.net:*:*:*:*:*:*:*:*
microsoft .net >= 8.0.0, < 8.0.4 cpe:2.3:a:microsoft:.net:*:*:*:*:*:*:*:*
microsoft powershell >= 7.2, < 7.2.19 cpe:2.3:a:microsoft:powershell:*:*:*:*:*:*:*:*
microsoft powershell >= 7.3, < 7.3.12 cpe:2.3:a:microsoft:powershell:*:*:*:*:*:*:*:*
microsoft powershell >= 7.4, < 7.4.2 cpe:2.3:a:microsoft:powershell:*:*:*:*:*:*:*:*
microsoft visual_studio_2022 >= 17.4.0, < 17.4.18 cpe:2.3:a:microsoft:visual_studio_2022:*:*:*:*:*:*:*:*
microsoft visual_studio_2022 >= 17.6.0, < 17.6.14 cpe:2.3:a:microsoft:visual_studio_2022:*:*:*:*:*:*:*:*
microsoft visual_studio_2022 >= 17.8.0, < 17.8.9 cpe:2.3:a:microsoft:visual_studio_2022:*:*:*:*:*:*:*:*
microsoft visual_studio_2022 >= 17.9.0, < 17.9.6 cpe:2.3:a:microsoft:visual_studio_2022:*:*:*:*:*:*:*:*
microsoft .net_framework 4.7.2 cpe:2.3:a:microsoft:.net_framework:4.7.2:*:*:*:*:*:*:*
microsoft .net_framework 4.8 cpe:2.3:a:microsoft:.net_framework:4.8:*:*:*:*:*:*:*
microsoft .net_framework 4.6.2 cpe:2.3:a:microsoft:.net_framework:4.6.2:*:*:*:*:*:*:*
microsoft .net_framework 4.7 cpe:2.3:a:microsoft:.net_framework:4.7:*:*:*:*:*:*:*
microsoft .net_framework 4.7.1 cpe:2.3:a:microsoft:.net_framework:4.7.1:*:*:*:*:*:*:*
microsoft .net_framework 3.5 cpe:2.3:a:microsoft:.net_framework:3.5:*:*:*:*:*:*:*

CVE-2024-21409 の参考情報

cvelogic Threat Intelligence