微软紧急修补 ASP.NET Core 高危漏洞！黑客可窃密、破坏、完全掌控

　　系统之家 10 月 20 日最新消息，微软近期修复了一个编号为 CVE-2025-55315 的安全漏洞，而该漏洞被官方称为 ASP.NET Core 历史上最严重的安全问题之一。黑客通过该漏洞可窃密、破坏、完全掌控。微软强烈建议开发者和用户立即采取修复措施。

　　该漏洞属于 HTTP 请求走私（request smuggling）类型，具体存在于 ASP.NET Core 的 Kestrel Web 服务器中，允许已通过身份验证的攻击者“走私”恶意的 HTTP 请求，从而达到劫持其他用户凭据或绕过前端安全控制的目的。

　　系统之家注：“请求走私”是指攻击者通过构造模糊不清的 HTTP 请求，欺骗服务器（或代理服务器）错误地解析请求边界，从而将恶意请求“走私”或夹带到正常请求中，用以绕过安全控制或攻击其他用户。

　　根据微软在周二发布的安全公告，攻击者一旦成功利用该漏洞，便可查看其他用户的凭据等敏感信息（破坏机密性）、修改目标服务器上的文件内容（破坏完整性），甚至可能导致服务器崩溃（破坏可用性）。

　　.NET 安全技术项目经理 Barry Dorrans 解释称，CVE-2025-55315 攻击的实际影响取决于目标 ASP.NET 应用程序的具体编码方式。

　　如果应用程序本身存在跳过请求检查的逻辑缺陷，可能导致最坏情况，即攻击者绕过核心安全功能，他指出虽然最坏情况发生的可能性不大，但微软仍以最坏情况来评估危险等级。

　　除了上述最糟糕情况外，该漏洞可能的攻击后果包括权限提升（以其他用户身份登录）、服务器端请求伪造（SSRF）、绕过跨站请求伪造（CSRF）检查或执行注入攻击。

　　为确保 ASP.NET Core 应用程序免受潜在攻击，微软强烈建议开发者和用户立即采取修复措施：

　　运行 .NET 8 或更高版本的用户需安装微软官方更新并重启应用或设备；

　　运行 .NET 2.3 的用户则需将 Microsoft.AspNet.Server.Kestrel.Core 包更新至 2.3.6 版本并重新编译部署；

　　对于自包含或单文件应用程序，也需要安装 .NET 更新后重新编译和部署。

　　相关阅读

　　《微软 Win11 预览版终于修复“更新后该关机却重启”的 BUG》

　　《微软修复 Win11 通知中心 Bug，日历新增读秒时钟功能》

　　《远程桌面拒绝微软账号登录的原因及修复方法（Win10 / Win11 适用）》

　　《微软时隔半年修复驱动兼容性问题！解除 Win11 24H2 升级限制》

　　以上是系统之家提供的最新资讯，感谢您的阅读，更多精彩内容请关注系统之家官网