10月18日,科技媒体bleepingcomputer发布报道称,微软已成功修复追踪编号为CVE-2025-55315的安全漏洞,该漏洞被标记为"ASP.NET Core史上最严重的安全隐患"。
这处漏洞属于HTTP请求走私类型,具体存在于ASP.NET Core的Kestrel Web服务器中。攻击者一旦通过身份验证,便可利用此漏洞"夹带"恶意HTTP请求,从而劫持其他用户凭证或绕过前端安全控制。

需要说明的是,"请求走私"是指攻击者通过构造边界模糊的HTTP请求,欺骗服务器错误解析请求内容,从而将恶意请求隐藏于正常通信中,用以绕过安全检查或攻击其他用户。
根据微软周二发布的安全公告,攻击者成功利用该漏洞后,不仅能查看其他用户的敏感凭证(破坏机密性),还可修改服务器文件内容(破坏完整性),甚至可能直接导致服务崩溃(破坏可用性)。
.NET安全技术项目负责人Barry Dorrans解释称,CVE-2025-55315的实际影响取决于目标ASP.NET应用程序的具体编码方式。
如果应用程序本身存在跳过请求检查的逻辑缺陷,可能导致最坏情况——攻击者完全绕过核心安全功能。尽管他表示发生最坏情况的可能性较低,但微软仍以最严重情境评估危险等级。
除上述极端情况外,该漏洞可能造成的后果还包括权限提升、服务器端请求伪造、跨站请求伪造检查绕过或注入攻击执行。
为确保ASP.NET Core应用程序免受潜在攻击,微软强烈建议开发者和用户立即采取修复措施:
运行.NET 8或更高版本的用户需安装微软最新更新并重启应用或设备;
运行.NET 2.3的用户则需将Microsoft.AspNet.Server.Kestrel.Core包更新至2.3.6版本并重新编译部署;
对于自包含或单文件应用程序,也需要在安装.NET更新后重新编译和部署。
