- Microsoft закрыла серьёзную уязвимость в ASP.NET Core с рейтингом 9,9 из 10 по шкале CVSS.
- Уязвимость CVE-2025-55315 связана с «контрабандой» HTTP-запросов и затрагивает веб-сервер Kestrel.
- Для защиты необходимо срочно установить обновления и перезапустить приложения, особенно при использовании .NET 8 и новее.
Компания Microsoft устранала критическую уязвимость в платформе ASP.NET Core, которая получила максимальный рейтинг опасности 9,9 из 10 по шкале Common Vulnerability Scoring System (CVSS). Данная уязвимость, известная под идентификатором CVE-2025-55315, связана с техникой HTTP request smuggling — «контрабандой» HTTP-запросов.
Уязвимость была выявлена в веб-сервере Kestrel, являющемся ключевым компонентом ASP.NET Core, и позволяла аутентифицированным злоумышленникам создавать дополнительные HTTP-запросы с целью перехвата учётных данных других пользователей, обхода защитных механизмов и внесения изменений в файлы на сервере. В некоторых случаях атака может привести к сбоям в работе сервера.
Microsoft рекомендует всем разработчикам и пользователям незамедлительно установить обновления безопасности, распространяемые через Microsoft Update. После установки обновления требуется перезапуск приложения или полная перезагрузка машины, особенно для систем на базе .NET версии 8 и выше.
Для пользователей .NET 2.3 необходимо обновить пакет Microsoft.AspNet.Server.Kestrel.Core до версии 2.3.6, а затем перекомпилировать и развернуть приложение заново. Владельцам self-contained или single-file приложений также следует обновить платформу, перекомпилировать и развернуть обновлённое программное обеспечение.
Обновления были также выпущены для Microsoft Visual Studio 2022, а также для ASP.NET Core версий 2.3, 8.0 и 9.0, включая пакет Microsoft.AspNetCore.Server.Kestrel.Core для приложений ASP.NET Core 2.x.
Технический менеджер программы безопасности .NET Барри Дорранс пояснил, что последствия эксплуатации уязвимости зависят от особенностей конкретного приложения. Среди возможных угроз — вход под чужим аккаунтом для повышения привилегий, выполнение запросов SSRF, обход защиты CSRF и проведение вредоносных инъекций. Он подчеркнул, что большинство современных приложений с надёжной проверкой запросов не подвержены риску, однако техническая рекомендация — обновиться как можно скорее.
Напомним, что в ноябре 2024 года Microsoft представила открытую платформу .NET 9, позволяющую создавать универсальные приложения для различных платформ, включая браузеры, облачные сервисы, настольные системы, IoT-устройства и мобильные устройства. В состав платформы входят последняя версия веб-стека ASP.NET Core 9.0 и ORM Entity Framework Core 9.0.
