MSBuild项目安全问题CVE-2025-26646分析与修复指南

微软近期披露了MSBuild项目中存在一个重要的安全问题（CVE-2025-26646），该问题影响.NET 9.0和8.0 SDK版本中的Microsoft.Build.Tasks.Core组件。本文将深入分析该问题的技术细节、影响范围以及修复方案。

问题概述

该问题属于路径处理类型的安全隐患，主要存在于MSBuild的DownloadFile任务中。不当操作可能通过控制文件名或路径的方式，在网络环境下实施非预期行为。这种操作可能导致系统下载并执行非预期文件，造成潜在风险。

受影响版本

该问题影响以下.NET SDK版本：

• .NET 9.0.105 SDK至9.0.203 SDK
• .NET 8.0.115 SDK至8.0.309 SDK

同时影响Microsoft.Build.Tasks.Core包的多个版本：

• 15.8.166至15.9.20
• 16.0.461至16.11.0
• 17.0.0至17.8.3
• 17.9.5至17.10.4
• 17.11.4
• 17.12.6
• 17.13.9

问题技术分析

该问题的核心在于DownloadFile任务对文件路径和名称的处理不够严谨。当开发者在构建过程中使用DownloadFile任务下载远程文件时，如果能够控制下载目标路径或文件名，就可能实施路径操作。

具体来说，可能通过以下方式利用此问题：

1. 通过中间环节修改下载请求
2. 控制构建环境中的变量来修改下载路径
3. 利用构建脚本中的配置注入非预期路径

修复方案

微软已经发布了修复版本，建议开发者采取以下措施：

对于.NET SDK用户

1. 升级到以下安全版本：

   • .NET 9.0用户应升级至9.0.300（VS 2022 v17.14）、9.0.204（v17.13）或9.0.106（v17.12）
   • .NET 8.0用户应升级至8.0.410（VS 2022 v17.11）、8.0.313（v17.10）或8.0.116（v17.8）

2. 升级后，建议重启所有相关应用程序以确保更新生效

对于直接引用Microsoft.Build.Tasks.Core的项目

应将包引用更新至以下安全版本：

• 15.9.30
• 16.11.6
• 17.8.29
• 17.10.29
• 17.12.36
• 17.13.26
• 17.14.8

注意事项

1. 即使SDK中可能包含多个版本的Microsoft.Build.Tasks.Core.dll，只有位于sdk/$(version)/目录下的版本会在构建过程中被实际加载使用

2. 对于.NET 9.0.300 SDK中出现的17.14.5版本，虽然该版本已包含修复，但建议开发者等待包含17.14.8版本的后续SDK更新

3. 微软已在5月22日发布了.NET 8.0.3xx和8.0.4xx SDK的更新版本，确保所有相关组件都已更新

最佳实践建议

1. 定期检查项目中的MSBuild任务使用情况，特别是涉及文件下载的操作

2. 在构建脚本中避免使用外部输入的变量作为文件路径参数

3. 考虑在关键构建过程中实施代码签名验证

4. 建立构建环境的网络隔离策略，限制构建过程的外部访问

通过及时应用这些安全更新和最佳实践，开发者可以有效防范此类潜在风险，确保构建过程的安全性。