
2025年10月19日,微软紧急发布了一项关键安全更新,旨在修复其ASP.NET Core平台中一个被评为史上最高严重级别的安全缺陷。该漏洞编号为CVE-2025-55315,存在于Kestrel ASP.NET Core Web服务器组件中,属于高风险的HTTP请求走私漏洞类型。
黑客一旦利用此漏洞得逞,就能在看似合法的HTTP请求中夹带恶意指令,从而绕过现有的安全防护机制,甚至对其他用户或系统发起连锁攻击。根据最新技术分析,该漏洞可能对多个层面造成威胁:在机密性方面,可能导致用户敏感信息(如登录凭证)遭到窃取;在完整性方面,可能被利用来篡改服务器上的文件内容;在可用性方面,还可能引发服务中断或服务器崩溃等严重后果。
.NET安全技术负责人强调,该漏洞的实际危害程度与具体部署的ASP.NET应用场景密切相关。潜在的攻击路径包括冒用他人身份进行权限提升、发起服务器端请求伪造(SSRF)、绕过跨站请求伪造(CSRF)防护机制,以及实施各类注入攻击。虽然最严重的攻击场景并非在所有系统中都会出现,但基于安全评估的审慎原则,微软仍按最坏情况对该漏洞进行评级,并强烈建议所有相关开发人员和系统管理员立即响应,尽快完成安全更新。
为全面修复该问题,微软已针对多个受影响版本推出安全补丁,涉及Microsoft Visual Studio 2024、ASP.NET Core 2.3、ASP.NET Core 8.0及ASP.NET Core 9.0等多个产品线。针对不同环境下的用户,建议采取相应的更新方案:使用.NET 8及以上版本的用户,应通过系统更新通道安装最新补丁,并在完成后重启应用程序或主机系统;使用.NET 2.3版本的用户,需将Microsoft.AspNet.Server.Kestrel.Core依赖包升级至2.3.6版本,随后重新编译并部署应用;对于采用独立部署或单文件发布模式的应用,同样需要安装对应运行时更新,并重新完成编译与部署流程。
鉴于该漏洞的高危特性,及时更新已成为保障系统安全的关键举措。
