Этот пост был переведён автоматически. Оригинальная версия доступна здесь.
Сервисные обновления за апрель 2026 для .NET и .NET Framework вышли, и на этот раз в них есть исправления безопасности, которые стоит применить как можно скорее. Исправлено шесть CVE, включая две уязвимости удалённого выполнения кода (RCE).
Что исправлено
Краткая сводка:
| CVE | Тип | Затрагивает |
|---|---|---|
| CVE-2026-26171 | Обход функций безопасности | .NET 10, 9, 8 + .NET Framework |
| CVE-2026-32178 | Удалённое выполнение кода | .NET 10, 9, 8 + .NET Framework |
| CVE-2026-33116 | Удалённое выполнение кода | .NET 10, 9, 8 |
| CVE-2026-32203 | Отказ в обслуживании | .NET 10, 9, 8 + .NET Framework |
| CVE-2026-23666 | Отказ в обслуживании | .NET Framework 3.0–4.8.1 |
| CVE-2026-32226 | Отказ в обслуживании | .NET Framework 2.0–4.8.1 |
Две CVE с RCE (CVE-2026-32178 и CVE-2026-33116) затрагивают самый широкий спектр версий .NET и должны быть приоритетом.
Обновлённые версии
- .NET 10: 10.0.6
- .NET 9: 9.0.15
- .NET 8: 8.0.26
Все доступны через обычные каналы — dotnet.microsoft.com, образы контейнеров на MCR и менеджеры пакетов Linux.
Что делать
Обновите свои проекты и пайплайны CI/CD до последних версий с патчами. Если вы используете контейнеры, загрузите последние образы. Если вы на .NET Framework, проверьте примечания к выпуску .NET Framework для соответствующих патчей.
Для тех, кто использует .NET 10 в продакшене (это текущий релиз), обновление до 10.0.6 обязательно. То же касается .NET 9.0.15 и .NET 8.0.26, если вы на этих LTS-версиях. Две уязвимости RCE — это не то, что можно откладывать.
