11月18日,微软发布紧急安全公告,宣布修复了ASP.NET Core中的一个关键漏洞。该漏洞编号为CVE-2025-55315,CVSS评分高达9.9(满分10分),成为微软漏洞库中评分最高的安全隐患。
这一漏洞存在于ASP.NET Core 10.0、9.0、8.0版本以及Kestrel组件的2.x版本中。攻击者若具备一定系统权限,可通过利用HTTP请求和响应解析不一致的特性,绕过一项重要的网络安全防护机制。
微软明确指出,针对HTTP请求/响应走私攻击场景,当前尚未部署有效的缓解措施。
HTTP请求走私是一种常见的攻击手法,攻击者利用服务器和代理解析HTTP请求头字段(如Content-Length或Transfer-Encoding)时的差异,将恶意请求隐藏在另一个合法请求之中。
.NET安全技术产品经理巴里·多兰斯解释了该漏洞获得高分评价的原因:
“这个漏洞使得HTTP请求走私成为可能。我们的评分是基于该漏洞对使用ASP.NET Core构建的应用程序可能造成的影响,而非仅仅评估漏洞本身的技术特性。”
根据应用程序处理请求的方式,若未能及时修复,该漏洞可能导致权限提升、服务端请求伪造、跨站请求伪造,以及绕过输入验证的注入攻击等严重后果。
微软强烈建议开发人员立即采取行动,升级到最新发布的修复版本。开发人员必须安装ASP.NET Core 8、9或10运行时的补丁版本,或将Microsoft.AspNetCore.Server.Kestrel.Core更新至2.3.6或更高版本。
对于已结束支持的.NET 6,可能需要依赖第三方发布的版本来解决这一安全隐患。

