https://thedotnetblog.com/zh/tags/servicing/Articles, tutorials and insights from the .NET community.Hugozh@thedotnetblog (The .NET Blog)@thedotnetblogWed, 15 Apr 2026 00:00:00 +0000https://thedotnetblog.com/zh/news/emiliano-montesdeoca/dotnet-april-2026-servicing-security-patches/Wed, 15 Apr 2026 00:00:00 +0000Emiliano Montesdeocahttps://thedotnetblog.com/zh/news/emiliano-montesdeoca/dotnet-april-2026-servicing-security-patches/2026年4月的服务更新修补了 .NET 10、.NET 9、.NET 8 和 .NET Framework 中的6个CVE — 其中包括两个远程代码执行漏洞。<blockquote> <p><em>本文为自动翻译。查看原文请<a href="https://thedotnetblog.com/zh/news/emiliano-montesdeoca/dotnet-april-2026-servicing-security-patches/">点击这里</a>。</em></p> </blockquote> <p>.NET 和 .NET Framework 的 <a href="https://devblogs.microsoft.com/dotnet/dotnet-and-dotnet-framework-april-2026-servicing-updates/">2026年4月服务更新</a> 已发布，这次包含了你需要尽快应用的安全修复。共修补了六个CVE，其中包括两个远程代码执行（RCE）漏洞。</p> <h2 id="修补内容">修补内容</h2> <p>快速总结如下：</p> <table> <thead> <tr> <th>CVE</th> <th>类型</th> <th>影响范围</th> </tr> </thead> <tbody> <tr> <td>CVE-2026-26171</td> <td>安全功能绕过</td> <td>.NET 10, 9, 8 + .NET Framework</td> </tr> <tr> <td>CVE-2026-32178</td> <td><strong>远程代码执行</strong></td> <td>.NET 10, 9, 8 + .NET Framework</td> </tr> <tr> <td>CVE-2026-33116</td> <td><strong>远程代码执行</strong></td> <td>.NET 10, 9, 8</td> </tr> <tr> <td>CVE-2026-32203</td> <td>拒绝服务</td> <td>.NET 10, 9, 8 + .NET Framework</td> </tr> <tr> <td>CVE-2026-23666</td> <td>拒绝服务</td> <td>.NET Framework 3.0–4.8.1</td> </tr> <tr> <td>CVE-2026-32226</td> <td>拒绝服务</td> <td>.NET Framework 2.0–4.8.1</td> </tr> </tbody> </table> <p>两个RCE CVE（CVE-2026-32178 和 CVE-2026-33116）影响范围最广，应当优先处理。</p> <h2 id="更新版本">更新版本</h2> <ul> <li><strong>.NET 10</strong>：10.0.6</li> <li><strong>.NET 9</strong>：9.0.15</li> <li><strong>.NET 8</strong>：8.0.26</li> </ul> <p>均可通过常规渠道获取 — <a href="https://dotnet.microsoft.com/download/dotnet/10.0">dotnet.microsoft.com</a>、MCR上的容器镜像以及Linux包管理器。</p> <h2 id="应该怎么做">应该怎么做</h2> <p>将你的项目和CI/CD管道更新到最新的补丁版本。如果你在运行容器，拉取最新的镜像。如果你在使用 .NET Framework，请查看 <a href="https://learn.microsoft.com/dotnet/framework/release-notes/release-notes">.NET Framework 发行说明</a> 获取对应的补丁。</p> <p>对于在生产环境运行 .NET 10 的用户（这是当前版本），10.0.6 是必须更新的。.NET 9.0.15 和 .NET 8.0.26 也是如此，如果你在使用这些LTS版本的话。两个RCE漏洞可不是你能拖延的事情。</p>