Microsoft затвори критична уязвимост в ASP.NET Core, позволяваща кражба на чувствителни данни и срив на сървъри
Тази седмица Microsoft пусна кръпка за премахване на сериозна накърнимост, която беше избрана като „ най-сериозната в историята “ на междуплатформената софтуерна рамка ASP.NET Core. Въпросната накърнимост е CVE-2025-55315, която е обвързвана с пренасочването на HTTP поръчки и е открита в уеб сървъра Kestrel за ASP.NET Core.
Чрез потребление на посочената накърнимост оторизиран в системата нападател може да инжектира спомагателни HTTP поръчки, с цел да превземе непознати сесии или да заобиколи функционалностите за сигурност.
„ Атакуващ, който употребява тази накърнимост, може да получи достъп до сензитивна информация, като да вземем за пример потребителски данни, а също по този начин може да направи промени в наличието на файловете на целевия сървър, което може да докара до неговия отвод. “
се споделя в изказване на Microsoft
Microsoft предлага на потребителите на разнообразни версии на платформата да подхващат избрани дейности за премахване на уязвимостта. На тези, които употребяват.NET 8 и по-нови версии на рамката, се предлага да употребяват услугата Microsoft Update, с цел да изтеглят актуализацията, след което тя ще се конфигурира и устройството ще би трябвало да се рестартира. Потребителите на.NET 2.3 би трябвало да актуализират връзката към пакета Microsoft.AspNetCore.Server.Kestrel.Core и по-късно да прекомпилират и разпрострат приложението. В случай на независими или еднофайлови приложения би трябвало да инсталирате кръпката, да прекомпилирате и разгърнете приложението. За да се оправи с уязвимостта, Microsoft пусна пачове за Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0, ASP.NET Core 9.0 и пакета Microsoft.AspNetCore.Server.Kestrel.Core за приложения с ASP.NET Core 2.x.
Говорител на Microsoft означи, че последствията от офанзивите посредством уязвимостта CVE-2025-55315 зависят от архитектурата на съответното приложение. Нападателят може да се оторизира в системата с идентификационните данни на различен консуматор, с цел да усили привилегиите си, да извърши скрити вътрешни поръчки и други дейности.
„ Не знаем какво тъкмо може да се случи, защото това зависи от метода, по който сте написали приложението си. Затова оценяваме уязвимостта въз основа на най-лошия вероятен сюжет – заобикаляне на функционалностите за сигурност. “
цитира източникът думите на представител на Microsoft
