史上最高危：微软修复 ASP.NET Core 漏洞，黑客可窃密、破坏、完全掌控

IT之家 10 月 18 日消息，科技媒体 bleepingcomputer 昨日（10 月 17 日）发布博文，报道称微软修复了追踪编号为 CVE-2025-55315 的漏洞，官方标记为“ASP.NET Core 史上最严重的漏洞”。

该漏洞属于 HTTP 请求走私（request smuggling）类型，具体存在于 ASP.NET Core 的 Kestrel Web 服务器中，允许已通过身份验证的攻击者“走私”恶意的 HTTP 请求，从而达到劫持其他用户凭据或绕过前端安全控制的目的。

IT之家注：“请求走私”是指攻击者通过构造模糊不清的 HTTP 请求，欺骗服务器（或代理服务器）错误地解析请求边界，从而将恶意请求“走私”或夹带到正常请求中，用以绕过安全控制或攻击其他用户。

根据微软在周二发布的安全公告，攻击者一旦成功利用该漏洞，便可查看其他用户的凭据等敏感信息（破坏机密性）、修改目标服务器上的文件内容（破坏完整性），甚至可能导致服务器崩溃（破坏可用性）。

.NET 安全技术项目经理 Barry Dorrans 解释称，CVE-2025-55315 攻击的实际影响取决于目标 ASP.NET 应用程序的具体编码方式。

如果应用程序本身存在跳过请求检查的逻辑缺陷，可能导致最坏情况，即攻击者绕过核心安全功能，他指出虽然最坏情况发生的可能性不大，但微软仍以最坏情况来评估危险等级。

除了上述最糟糕情况外，该漏洞可能的攻击后果包括权限提升（以其他用户身份登录）、服务器端请求伪造（SSRF）、绕过跨站请求伪造（CSRF）检查或执行注入攻击。

为确保 ASP.NET Core 应用程序免受潜在攻击，微软强烈建议开发者和用户立即采取修复措施：

• 运行 .NET 8 或更高版本的用户需安装微软官方更新并重启应用或设备；

• 运行 .NET 2.3 的用户则需将 Microsoft.AspNet.Server.Kestrel.Core 包更新至 2.3.6 版本并重新编译部署；

• 对于自包含或单文件应用程序，也需要安装 .NET 更新后重新编译和部署。

广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。