11月18日最新消息,微软日前发布安全公告,紧急修复了ASP.NET Core中的一个关键安全漏洞。该漏洞编号为CVE-2025-55315,在CVSS评分体系中获得9.9分(满分10分),成为微软漏洞库中安全风险等级最高的漏洞之一。
这一高危漏洞存在于ASP.NET Core 10.0、9.0、8.0版本以及Kestrel包的2.x版本中。具备一定权限的攻击者可利用HTTP请求和响应的不一致解析,绕过一项重要的网络安全防护机制。
微软在公告中明确指出,针对HTTP请求/响应走私(HTTP Request/Response Smuggling)攻击场景,目前尚未部署有效的缓解措施。
HTTP请求走私是一种常见的攻击手法,攻击者利用服务器和代理在解析HTTP请求头字段(如Content-Length或Transfer-Encoding)时的差异性,将一个恶意请求隐藏在另一个合法请求之中。
微软.NET安全技术产品经理巴里·多兰斯(Barry Dorrans)解释了该漏洞获得高分的原因:
“这个漏洞的存在使得HTTP请求走私成为可能。我们的评分是基于该漏洞对使用ASP.NET Core构建的应用程序可能造成的影响,而非单独评估漏洞本身的技术特性。”
根据应用程序处理请求的方式,若未及时修复,该漏洞可能导致权限提升、服务端请求伪造、跨站请求伪造以及绕过输入验证的注入攻击等多种安全风险。
微软强烈建议开发人员立即采取行动,升级到最新发布的修复版本。开发人员必须安装ASP.NET Core 8、9或10运行时/SDK的安全更新版本,或者将Microsoft.AspNetCore.Server.Kestrel.Core更新至2.3.6或更高版本。
对于已停止支持的.NET 6项目,可能需要依赖第三方发布的版本来解决该安全问题。

