Microsoft Visual Studio 产品2026 年 4 月
high Nessus 插件 ID 307350
语言:
简介
Microsoft Visual Studio 产品会受到拒绝服务漏洞的影响。描述
Microsoft Visual Studio 产品缺少安全更新。因此,其受到拒绝服务漏洞的影响:
- Node.js 中的 TLS 错误处理允许远程攻击者在使用 pskCallback 或 ALPNCallback 时造成 TLS 服务器崩溃或耗尽资源。
在执行这类回调期间抛出的同步异常可绕过标准 TLS 错误处理路径(tlsClientError 和 error),导致进程立即终止或静默文件描述符泄漏,最终造成拒绝服务。
这类回调会在 TLS 握手期间处理攻击者控制的输入,因此远程客户端可重复触发此问题。记录的 Visual Studio 更新包含 Node.js 中的更新可解决此漏洞。
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
Microsoft 已发布下列安全更新以解决此问题:- Visual Studio 2019 更新到 16.11.5516.11
- Visual Studio 2022 17.12 的 Update 17.12.19
- Visual Studio 2022 17.14 的 Update 17.14.30
另见
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21637
https://learn.microsoft.com/en-us/visualstudio/releases/2019/history
插件详情
严重性: High
ID: 307350
文件名: smb_nt_ms26_apr_visual_studio_1.nasl
版本: 1.2
类型: Local
代理: windows
发布时间: 2026/4/17
最近更新时间: 2026/4/20
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: High
基本分数: 7.8
时间分数: 5.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS 分数来源: CVE-2026-21637
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:microsoft:visual_studio
必需的 KB 项: SMB/MS_Bulletin_Checks/Possible, SMB/Registry/Enumerated, installed_sw/Microsoft Visual Studio
易利用性: No known exploits are available
补丁发布日期: 2026/4/1
漏洞发布日期: 2026/4/1
参考资料信息
CVE: CVE-2026-21637
IAVA: 2026-A-0347