Subtotal $0.00
Email : 1
Atualizações recentes da Microsoft revelaram duas vulnerabilidades críticas que afetam diretamente desenvolvedores e servidores que utilizam o .NET SDK/Runtime nas versões 8.0 e 9.0.
Se você usa .NET em ambientes Linux ou envia e-mails via SMTP, este artigo é para você. Entenda o que está em risco, como as falhas funcionam, quais versões são vulneráveis e como corrigir agora mesmo.
Resumo das Vulnerabilidades
| CVE | Tipo de falha | Impacto | Plataformas |
|---|---|---|---|
| CVE-2025-55247 | Elevação de privilégios / DoS | Interferência local em builds via MSBuild | Linux |
| CVE-2025-55248 | Vazamento de informações (MITM) | Dados sensíveis expostos em conexões SMTP/TLS | Windows, Linux, macOS |
CVE-2025-55247 — Falha no MSBuild para Linux
O que é?
A falha afeta o processo de build do MSBuild em sistemas Linux, onde arquivos temporários são criados com caminhos previsíveis. Isso permite que usuários locais maliciosos possam interferir diretamente na build.
Riscos:
- Interrupção de builds automatizados (Denial of Service)
- Inserção de arquivos maliciosos nos resultados
- Escalonamento de privilégios local
Versões Afetadas:
- .NET SDK 8.0 até 8.0.20
- .NET SDK 9.0 até 9.0.9
- Ambientes Linux com múltiplos usuários ou CI/CD compartilhado
CVE-2025-55248 — Vazamento em Conexões SMTP/TLS
O que é?
Durante falhas no handshake SSL, uma aplicação .NET pode continuar o envio de dados via SMTP sem criptografia, mesmo após erro na conexão TLS. Isso permite ataques do tipo Man-in-the-Middle (MITM).
Dados em Risco:
- Credenciais de e-mail
- Tokens de autenticação
- Informações sensíveis de usuários
- Qualquer conteúdo enviado por SMTP
Versões Afetadas:
- .NET Runtime 8.0 até 8.0.20
- .NET Runtime 9.0 até 9.0.9
- Plataformas: Windows, Linux, macOS
Como Saber se Você Está Vulnerável
Abra o terminal e execute:
dotnet --info
Compare as versões exibidas com as seguras:
| Falha | Corrigido em |
|---|---|
| CVE-55247 (Linux) | SDK 8.0.21 / 9.0.10 |
| CVE-55248 (SMTP) | Runtime 8.0.21 / 9.0.10 |
Além disso:
- Verifique arquivos
global.jsone.csprojpor SDKs fixos vulneráveis - Audite o uso de SMTP nas suas aplicações
- Avalie builds em ambientes Linux multiusuário
Como Corrigir Imediatamente
Atualize para versões corrigidas:
| Componente | Versão segura mínima |
|---|---|
| SDK | .NET 8.0.21 ou 9.0.10 |
| Runtime | Microsoft.NETCore.App ≥ 8.0.21 / 9.0.10 |
Download oficial da Microsoft .NET
Checklist de Ações Recomendadas
| Ação | Por quê? |
|---|---|
| Atualizar SDK e Runtime | Corrige diretamente as vulnerabilidades |
| Recompilar aplicações self-contained | Elas embutem versões antigas e vulneráveis do runtime |
| Atualizar imagens base Docker | Imagens anteriores a julho/2025 estão afetadas |
| Auditar conexões SMTP | Verificar exigência de TLS e logs de handshake |
| Reforçar segurança em builds compartilhados | Evita ataques locais em ambientes Linux compartilhados |
Boas Práticas para Evitar Futuros Problemas
- Sempre exigir TLS obrigatório em conexões de e-mail.
- Evitar builds em máquinas compartilhadas.
- Usar ferramentas como GitHub Dependabot ou Snyk para monitorar dependências.
- Acompanhar avisos de segurança no GitHub oficial do .NET.
Fontes Oficiais
- CVE-2025-55247 — Elevação de privilégios em builds Linux
- CVE-2025-55248 — Vazamento SMTP/TLS
- Downloads atualizados do .NET
Mesmo um ecossistema robusto como o .NET está sujeito a falhas críticas. Se você utiliza .NET 8 ou 9 — especialmente em ambientes Linux ou com conexões SMTP — não adie a atualização. Um patch hoje pode evitar um vazamento de dados amanhã.
