InfoQ
·
微软修复ASP.NET Core关键漏洞,CVSS评分为9.9
💡
原文英文,约500词,阅读约需2分钟。
📝
内容提要
微软发布安全公告,修复了ASP.NET Core中的关键漏洞CVE-2025-55315,CVSS评分为9.9。该漏洞影响ASP.NET Core 10.0、9.0、8.0及Kestrel 2.x,允许攻击者绕过安全特性。微软建议开发者及时更新以防安全风险。
🎯
关键要点
- 微软发布安全公告,修复了ASP.NET Core中的关键漏洞CVE-2025-55315,CVSS评分为9.9。
- 该漏洞影响ASP.NET Core 10.0、9.0、8.0及Kestrel 2.x,允许攻击者绕过安全特性。
- 攻击者可以通过不一致的HTTP请求解析绕过安全特性,微软建议开发者及时更新以防安全风险。
- HTTP请求走私利用服务器和代理解析HTTP请求的差异,可能导致特权提升或请求篡改等攻击。
- 微软建议开发者检查代理配置,确保正常化请求并检测走私尝试。
- Hayden Barnes发布了一个ASP.NET Core控制台应用程序,以测试HTTP分块传输和换行解析行为。
- 开发者需安装ASP.NET Core 8、9或10的修补版本,或将Microsoft.AspNetCore.Server.Kestrel.Core更新至2.3.6或以上。
🏷️
标签
➡️
