及時更新：微軟修復有史以來最嚴重ASP.NET Core漏洞！

快科技10月19日消息，本周早些時候，微軟發佈了重要安全補丁，修復了一個被評為「有史以來最高」嚴重級別的ASP.NET Core安全漏洞。

該漏洞被標記為CVE-2025-55315，位於Kestrel ASP.NET Core Web服務器中，是一種危險的HTTP請求走私（HTTP request smuggling）缺陷。

成功利用此漏洞的攻擊者，可以將惡意請求夾帶到正常請求中，從而繞過安全控制或攻擊其他用户。

微軟在安全公告中指出，攻擊后果可能包括：

機密性（Confidentiality）： 竊取其他用户的敏感信息（例如憑據）。

完整性（Integrity）： 未經授權修改目標服務器上的文件內容。

可用性（Availability）： 可能導致服務器崩潰。

.NET安全技術項目經理Barry Dorrans解釋説，該漏洞的攻擊影響取決於具體的ASP.NET應用程序。

成功利用可能導致威脅行為者以不同用户身份登錄（權限提升）、發起內部請求（服務器端請求偽造）、繞過跨站請求偽造（CSRF）檢查，或執行注入攻擊。

Dorrans強調，雖然最壞情況未必普遍發生，但微軟仍以「最壞情況」來評分，因此強烈建議所有開發人員和用户立即採取措施進行更新。

為應對此漏洞，微軟已針對Microsoft Visual Studio 2022、ASP.NET Core 2.3、ASP.NET Core 8.0和ASP.NET Core 9.0等版本發佈了安全更新。

微軟敦促開發者和用户採取以下措施：

對於.NET 8或更高版本：通過Microsoft Update安裝.NET更新，然后重啟應用程序或機器。

對於.NET 2.3：將Microsoft.AspNet.Server.Kestrel.Core的包引用更新到2.3.6，重新編譯應用程序並重新部署。

對於獨立/單文件應用程序：安裝.NET更新，重新編譯並重新部署。

【本文結束】如需轉載請務必註明出處：快科技

責任編輯：黑白