11月18日消息�,接近微軟近日發布安全公告�,滿分緊急修補了ASP.NET Core中的微軟一個關鍵漏洞�����,該漏洞(CVE-2025-55315)CVSS評分達到9.9分(滿分10分)��,修復成為微軟漏洞庫中評分最高的評分漏洞�。
該漏洞存在于ASP.NET Core 10.0�����、達分9.0���、關鍵8.0版本以及Kestrel包的漏洞2.x版本中�,它允許具備一定權限的接近攻擊者�����,通過利用HTTP請求和響應的滿分不一致解析��,來繞過一項重要的微軟網絡安全特性��。
微軟明確指出���,修復對于HTTP 請求/響應走私(HTTP Request/Response Smuggling)場景��,評分當前并沒有現成的達分措施可以緩解��。
HTTP請求走私是關鍵一種常見的攻擊方式���,利用服務器和代理解析HTTP請求頭字段(如Content-Length或Transfer-Encoding)時的差異�,將一個惡意請求隱藏在另一個合法請求中�����。
微軟.NET安全技術產品經理巴里·多蘭斯(Barry Dorrans)解釋了該漏洞獲得高分的原因:
“這個漏洞使得HTTP請求走私成為可能�。我們是根據這個漏洞對基于ASP.NET Core構建的應用程序可能產生的影響來評分的��,而不是單獨評估漏洞本身���。”
根據應用程序處理請求的方式�����,若未及時修復�����,該漏洞可能導致權限提升�����、服務器端請求偽造�、跨站請求偽造�、繞過輸入驗證的注入攻擊等����。
微軟強烈建議開發人員立即采取行動���,升級到官方列出的修復版本����,開發人員必須安裝ASP.NET Core 8��、9或10運行時/SDK的補丁版本�,或將Microsoft.AspNetCore.Server.Kestrel.Core更新到2.3.6或更高版本����。
對于缺乏官方支持的.NET 6�����,可能需要依賴第三方發布的版本來解決該漏洞�。
