На прошлой неделе компания Microsoft закрыла уязвимость ASP.NET Core, получившую 9,9 балла из 10 возможных по шкале CVSS — самый высокий рейтинг серьезности за всю историю таких уязвимостей.

Проблема, получившая идентификатор CVE-2025-55315, была связана с «контрабандой» HTTP-запросов (HTTP request smuggling) и была обнаружена в веб-сервере Kestrel ASP.NET Core. Ошибка позволяла аутентифицированным атакующим протащить еще один HTTP-запрос, чтобы перехватить учетные данные других пользователей или обойти средства защиты.

«Злоумышленник, успешно эксплуатировавший эту уязвимость, мог просматривать чувствительную информацию (например, учетные данные других пользователей), вносить изменения в содержимое файлов на целевом сервере, а также потенциально вызывать сбой в работе сервера», — объяснили в Microsoft.

Чтобы защитить приложения ASP.NET Core от потенциальных атак, Microsoft рекомендует разработчикам и пользователям выполнить следующие действия.

  • Если используется .NET 8 или новее, установить обновление .NET через Microsoft Update, а затем перезапустить приложение или перезагрузить машину.
  • Если используется .NET 2.3, обновить ссылку на пакет Microsoft.AspNet.Server.Kestrel.Core до версии 2.3.6, а затем перекомпилировать приложение и развернуть заново.
  • Если используется self-contained/single-file приложение, установить обновление .NET, перекомпилировать и развернуть заново.

Для устранения уязвимости Microsoft выпустила обновления для Microsoft Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0 и ASP.NET Core 9.0, а также пакет Microsoft.AspNetCore.Server.Kestrel.Core для приложений ASP.NET Core 2.x.

Как поясняет Барри Дорранс (Barry Dorrans), технический менеджер программы безопасности .NET, последствия от атак с использованием CVE-2025-55315 зависят от конкретного ASP.NET-приложения. Успешная эксплуатация может позволить злоумышленникам войти в систему под видом другого пользователя (для повышения привилегий), выполнить внутренний запрос (в атаках типа SSRF), обойти защиту от CSRF, а также осуществить вредоносные инжекты.

«Мы не знаем наверняка, что именно может произойти — все зависит от того, как написано конкретное приложение. Поэтому мы оцениваем уязвимость по худшему сценарию: обход защиты с изменением области воздействия, — пишет Дорранс. — Насколько это вероятно? Вряд ли, если только в коде вашего приложения нет каких-то странностей и он не пропускает проверки, которые должны выполняться на каждом запросе. В любом случае, пожалуйста, обновитесь».

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии