接近滿分！微軟修復評分達9.9分關鍵漏洞

快科技11月18日消息，微軟近日發佈安全公告，緊急修補了ASP.NET Core中的一個關鍵漏洞，該漏洞（CVE-2025-55315）CVSS評分達到9.9分（滿分10分），成為微軟漏洞庫中評分最高的漏洞。

該漏洞存在於ASP.NET Core 10.0、9.0、8.0版本以及Kestrel包的2.x版本中，它允許具備一定權限的攻擊者，通過利用HTTP請求和響應的不一致解析，來繞過一項重要的網絡安全特性。

微軟明確指出，對於HTTP 請求/響應走私（HTTP Request/Response Smuggling）場景，當前並沒有現成的措施可以緩解。

HTTP請求走私是一種常見的攻擊方式，利用服務器和代理解析HTTP請求頭字段（如Content-Length或Transfer-Encoding）時的差異，將一個惡意請求隱藏在另一個合法請求中。

微軟.NET安全技術產品經理巴里·多蘭斯（Barry Dorrans）解釋了該漏洞獲得高分的原因：

「這個漏洞使得HTTP請求走私成為可能。我們是根據這個漏洞對基於ASP.NET Core構建的應用程序可能產生的影響來評分的，而不是單獨評估漏洞本身。」

根據應用程序處理請求的方式，若未及時修復，該漏洞可能導致權限提升、服務器端請求偽造、跨站請求偽造、繞過輸入驗證的注入攻擊等。

微軟強烈建議開發人員立即採取行動，升級到官方列出的修復版本，開發人員必須安裝ASP.NET Core 8、9或10運行時/SDK的補丁版本，或將Microsoft.AspNetCore.Server.Kestrel.Core更新到2.3.6或更高版本。

對於缺乏官方支持的.NET 6，可能需要依賴第三方發佈的版本來解決該漏洞。

【本文結束】如需轉載請務必註明出處：快科技

責任編輯：黑白