Жестко запрограммированное значение машинного ключа ASP.NET/IIS в цифровых знаниях. Развертывания KnowledgeDeliver до 24 февраля 2026 г. позволяют злоумышленникам обходить механизмы проверки ViewState и достигать удаленного выполнения кода с помощью вредоносных атак десериализации ViewState.
Показать оригинальное описание (EN)
Hard-coded ASP.NET/IIS machineKey value in Digital Knowledge KnowledgeDeliver deployments prior to February 24, 2026 allows adversaries to circumvent ViewState validation mechanisms and achieve remote code execution via malicious ViewState deserialization attacks
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1