Defense in Depth update for NuGet Client

GHSA-g4vj-cjjj-v7hg

Published Apr 14, 2026 · Modified Apr 17, 2026

Description

This update adds validation of the package ID and version during package download, in addition to the existing package signature validation.

The following NuGet.exe, NuGet.CommandLine, NuGet.Packaging, and NuGet.Protocol versions have been patched:

N/A

Fix 4.9.7, 5.11.7, 6.11.2, 6.12.5, 6.14.3, 6.8.2, 7.0.3, 7.3.1

Introduced 4.9.0, 5.11.0, 6.11.0, 6.12.0, 6.14.0, 6.8.0, 7.0.0, 7.3.0

22 affected versions

4.9.24.9.34.9.44.9.54.9.65.11.05.11.25.11.35.11.55.11.66.11.06.11.16.12.06.12.16.12.26.12.46.14.06.8.06.8.17.0.0 +2 more

Fix 4.9.7, 5.11.7, 6.11.2, 6.12.5, 6.14.3, 6.8.2, 7.0.3, 7.3.1

Introduced 4.9.0, 5.11.0, 6.11.0, 6.12.0, 6.14.0, 6.8.0, 7.0.0, 7.3.0

16 affected versions

5.11.05.11.25.11.35.11.55.11.66.11.06.11.16.12.06.12.16.12.46.14.06.8.06.8.17.0.07.0.17.3.0

Fix 4.9.7, 5.11.7, 6.11.2, 6.12.5, 6.14.3, 6.8.2, 7.0.3, 7.3.1

Introduced 4.9.0, 5.11.0, 6.11.0, 6.12.0, 6.14.0, 6.8.0, 7.0.0, 7.3.0

16 affected versions

5.11.05.11.25.11.35.11.55.11.66.11.06.11.16.12.06.12.16.12.46.14.06.8.06.8.17.0.07.0.17.3.0

Ready to move

Free, no credit card | First findings in minutes