
微软近日发布安全通告,紧急修复了ASP.NET Core中一个高危安全漏洞,编号为CVE-2025-55315。该漏洞的CVSS评分高达9.9分,接近满分,是目前微软漏洞库中评分最高的安全问题之一。该漏洞影响ASP.NET Core 10.0、9.0、8.0版本及Kestrel组件的2.x系列,攻击者在具备部分访问权限的情况下,可利用HTTP请求与响应解析过程中的不一致性,绕过关键安全防护机制。
此次漏洞的核心在于可能引发HTTP请求/响应走私行为。此类攻击通常利用前端代理与后端服务器在处理HTTP头部字段(如Content-Length或Transfer-Encoding)时的差异,将恶意请求伪装在正常流量中进行传递。微软在公告中强调,针对此类请求走私场景目前尚无有效的临时缓解手段,只能依赖版本更新进行修复。
负责.NET安全的产品经理巴里·多兰斯对此解释称,该漏洞之所以获得极高评分,是因为它可能对基于ASP.NET Core构建的各类应用造成广泛而严重的影响。评分依据并不仅限于漏洞本身的技术细节,而是综合考虑其在实际部署环境中可能引发的连锁安全风险。
根据具体应用场景的不同,若未及时修补,攻击者可能借此实现权限提升、发起服务器端请求伪造(SSRF)、跨站请求伪造(CSRF),甚至绕过输入校验机制实施注入类攻击。因此,微软强烈建议所有相关开发者立即采取应对措施,尽快将系统升级至最新提供的修复版本。
具体修复方案包括:安装ASP.NET Core 8、9或10的最新运行时或SDK补丁,或将项目中的Microsoft.AspNetCore.Server.Kestrel.Core组件更新至2.3.6及以上版本。对于已停止最新支持的.NET 6环境,由于缺乏直接补丁支持,用户可能需要借助第三方维护版本或其他替代方案来降低安全风险。
