快科技11月18日消息,微软近日发布安全公告,紧急修补了ASP.NET Core中的一个关键漏洞,该漏洞(CVE-2025-55315)CVSS评分达到9.9分(满分10分),成为微软漏洞库中评分最高的漏洞。
该漏洞存在于ASP.NET Core 10.0、9.0、8.0版本以及Kestrel包的2.x版本中,它允许具备一定权限的攻击者,通过利用HTTP请求和响应的不一致解析,来绕过一项重要的网络安全特性。
微软明确指出,对于HTTP 请求/响应走私(HTTP Request/Response Smuggling)场景,当前并没有现成的措施可以缓解。
HTTP请求走私是一种常见的攻击方式,利用服务器和代理解析HTTP请求头字段(如Content-Length或Transfer-Encoding)时的差异,将一个恶意请求隐藏在另一个合法请求中。
微软.NET安全技术产品经理巴里·多兰斯(Barry Dorrans)解释了该漏洞获得高分的原因:
“这个漏洞使得HTTP请求走私成为可能。我们是根据这个漏洞对基于ASP.NET Core构建的应用程序可能产生的影响来评分的,而不是单独评估漏洞本身。”
根据应用程序处理请求的方式,若未及时修复,该漏洞可能导致权限提升、服务器端请求伪造、跨站请求伪造、绕过输入验证的注入攻击等。
微软强烈建议开发人员立即采取行动,升级到官方列出的修复版本,开发人员必须安装ASP.NET Core 8、9或10运行时/SDK的补丁版本,或将Microsoft.AspNetCore.Server.Kestrel.Core更新到2.3.6或更高版本。
对于缺乏官方支持的.NET 6,可能需要依赖第三方发布的版本来解决该漏洞。
