Understanding the Worst .NET Vulnerability
7 months ago
- #dotnet
- #vulnerability
- #security
- 微软发布了一个关键漏洞CVE-2025-55315,其CVSS评分高达9.9分,创历史最高记录。
- 该漏洞涉及ASP.NET Core中的HTTP请求走私问题,可使攻击者绕过安全防护机制。
- HTTP请求走私利用代理服务器与目标服务器对模糊HTTP请求解析方式的差异进行攻击。
- 攻击者可借此以其他用户身份登录、绕过CSRF检查、实施注入攻击等恶意行为。
- CVE-2025-55315的具体漏洞涉及Transfer-Encoding: chunked请求中的无效分块扩展。
- 微软已在支持的.NET版本(8、9、10)中发布补丁,但旧版本仍存在风险。
- 建议措施包括:升级至已修复版本、强制使用HTTP/2或HTTP/3协议、避免直接操作请求流。
- Azure应用服务(AAS)用户已受保护(代理端已完成修复),但其他托管服务可能仍存在漏洞。