吳明宜微軟十月 Patch Tuesday 修補了 ASP.Net Core 開原網頁開發框架的的一項重大漏洞。
編號 CVE-2025-55315 的漏洞風險值為 9.9,微軟.NET 安全方案經理 Barry Dorrans 稱之為 ASP.Net Core 風險值「歷來最高」的漏洞。
這是一項 HTTP 請求走私 (request smuggling) 漏洞,存在 ASP.Net Core 內建網頁伺服器人,可被用來繞過網路上的安全功能。漏洞可允許攻擊者藉由將 HTTP 呼叫隱藏在另一請求中,觸發多種應用程式行為。微軟解釋,成功濫用本漏洞的攻擊者可走私另一 HTTP 請求,藉此繞過前端安全控制,或是劫持其他使用者憑證。
微軟表示,濫用本漏洞的結果是洩露敏感資訊,可能是使用者憑證、竄改檔案內容,或是引發內容阻斷服務 (denial of service, DoS) 條件。在此例中,重要元件和受影響元件是不同二個,也是由不同安全權威 (security authorities) 管理。
微軟表示,CVE-2025-55315 雖然是在 ASP.Net Core 發現,但實際影響則依應用程式開發方式而有有所不同。例如濫用該漏洞的攻擊者可以以另一人身分登入發出內部請求、繞過 CSRF 檢查,並執行注入程式碼攻擊。
有發出請求的軟體本身就不安全,例如只附 log 而不處理驗證的應用程式可能會遺漏 log 記錄,而根據特定規則執行驗證的應用程式,則可能被鎖定造成提升權限攻擊。不論發生的機會有多小,為保險起見,微軟將此漏洞賦予 9.9 的最高風險。
微軟在本月稍早的安全修補中,釋出 Microsoft Visual Studio 2022 17.14 、 17.12 和 17.10,以及 ASP.NET Core 2.3 、 8.0 、 9.0 和 10.0 RC1 解決本漏洞。
來源:SecurityWeek