微软修复ASP.NET核心产品中高达9.9分的安全漏洞被描述为HTTP走私漏洞

微软已确认该公司修复 ASP.NET Core 产品中评分最高的安全漏洞，该漏洞编号为 CVE-2025-55315，漏洞评分为 9.9 分 (满分 10 分)，主要影响 Kestrel ASP.NET Core Web 服务器，允许未经身份验证的攻击者在原始请求中走私二次 HTTP 请求。

据称恶意软件可以通过该漏洞帮助攻击者绕过不同级别的安全控制，例如查看并获取其他用户凭证 (机密性) 等敏感信息，更改目标服务器中的文件内容完整性，甚至迫使服务器崩溃等。

为修复这个漏洞微软向诸多不同的版本发布安全更新并要求开发者们重新编译和部署应用程序，如果不重新编译和部署应用程序则漏洞仍然有被利用的可能性，这会严重危害使用 ASP.NET Core 产品的安全性。

具体来说运行.NET 8 或更高版本的用户应当从 Windows 更新中安装.NET 更新，运行.NET 2.3 的用户需要将 Microsoft.AspNet.Server.Kestrel.Core 包引用更新到 2.3.6 版并重新编译和部署应用程序。

而运行独立 / 单文件应用程序的用户应当安装.NET 更新并重新编译和部署软件，其他产品例如 VS 2022、ASP.NET Core 2.3/8.0/9.0 等有自己的安全更新，用户和开发者们也需要更新。

.NET 安全技术项目经理称这个漏洞评分听起来很高但其实严重性不是那么高，具体取决于开发者使用该项目开发的下游软件，如果下游软件用来传输各种机密信息那危害程度就非常高了。

所以微软的做法是评估时按照最坏的情况来评估以此提醒开发者和用户及时安装更新，避免真遇到恶意软件利用漏洞绕过各种安全限制窃取机密信息。

更多相关技术内容咨询欢迎前往并持续关注好学星城论坛了解详情。

想高效系统的学习Python编程语言，推荐大家关注一个微信公众号：Python编程学习圈。每天分享行业资讯、技术干货供大家阅读，关注即可免费领取整套Python入门到进阶的学习资料以及教程，感兴趣的小伙伴赶紧行动起来吧。

0 条评论