Сегодня 15 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Microsoft исправила критическую уязвимость ASP.NET Core, которая позволяла красть секретные данные и ломать серверы

На этой неделе Microsoft выпустила патч для исправления критической уязвимости, которая получила отметку как «самая серьёзная за всю историю» кроссплатформенного фреймворка ASP.NET Core. Речь об уязвимости CVE-2025-55315, которая связана с перенаправлением HTTP-запросов и была выявлена в веб-сервере Kestrel для ASP.NET Core.

 Источник изображения: Bleeping Computer

Источник изображения: Bleeping Computer

Используя упомянутую уязвимость, авторизованный в системе злоумышленник мог встраивать дополнительные HTTP-запросы для перехвата чужих сессий или обхода функций безопасности. «Злоумышленник, использующий эту уязвимость, может получить доступ к конфиденциальной информации, такой как учётные данные пользователей, а также может вносить изменения в содержимое файлов на целевом сервере, что может приводить к сбоям в его работе», — говорится в сообщении Microsoft.

Пользователям разных версий платформы Microsoft рекомендует предпринять определённые действия, чтобы закрыть уязвимость. Тем, кто использует .NET 8 и более новые версии фреймворка, рекомендуется задействовать сервис Microsoft Update для загрузки патча, после чего он установится и устройство нужно будет перезагрузить. Пользователям .NET 2.3 требуется обновиться ссылку на пакет Microsoft.AspNetCore.Server.Kestrel.Core, а затем заново скомпилировать и развернуть приложение. Если же речь о самодостаточных или однофайловых приложениях, то следует установить патч, заново скомпилировать и развернуть приложение. Для устранения уязвимости Microsoft выпустила патчи для Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0, ASP.NET Core 9.0 и пакета Microsoft.AspNetCore.Server.Kestrel.Core для приложений с ASP.NET Core 2.x.

Представитель Microsoft отметил, что последствия атак через уязвимость CVE-2025-55315 зависят от архитектуры конкретного приложения. Злоумышленник может авторизоваться в системе с данными другого пользователя для повышения привилегий, осуществлять выполнение скрытых внутренних запросов и др. «Но мы не знаем, что именно может произойти, поскольку это зависит от того, как вы написали своё приложение. Поэтому мы оцениваем уязвимость исходя из наихудшего возможного сценария — обхода функций безопасности», — приводи источник слова представителя Microsoft.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Microsoft станет реже пересматривать цены в местной валюте на облачные продукты 7 мин.
PayPal предложили купить за $53 миллиарда 59 мин.
Скоростной лыжный хоррор-шутер Dieathlon отправит игроков в смертельный слалом — первый трейлер и подробности 3 ч.
Разработчик Warhammer 40,000: Space Marine 3 и Jurassic Park: Survival доверил развитие бизнеса бывшему боссу Epic Games Store 5 ч.
Epic Games победила: Google впустит сторонние магазины приложений в «Play Маркет» уже 22 июля 6 ч.
Microsoft закрыла 570 дыр в Windows 11 и разрешила бесконечно откладывать обновления 6 ч.
Флагманская ИИ-модель OpenAI GPT-5.6 Sol стала самовольно удалять файлы пользователей 7 ч.
РТК-ЦОД сертифицировал инфраструктуру «Облака КИИ» по международному стандарту безопасности платежных карт PCI DSS 7 ч.
РТК-ЦОД сертифицировал инфраструктуру «Облака КИИ» по международному стандарту безопасности платежных карт PCI DSS 7 ч.
Жалуются, но всё равно покупают: скандальные DLC для Assassin’s Creed Black Flag Resynced стали хитом продаж 8 ч.
Palit представила видеокарту GeForce RTX 3060 Infinity 2 OC на пятилетнем GPU 4 мин.
Бум ИИ разгонит рынок оборудования для выпуска чипов до рекордных $230 млрд к 2028 году 8 мин.
В обход FLAPD: Pure DC запустит в Финляндии 550-МВт ИИ ЦОД стоимостью €7,5 млрд 27 мин.
SpaceX выполнила 600-й повторный запуск первой ступени Falcon 9 в космос 55 мин.
Google призналась, что стоит за проектом гигаваттного ИИ ЦОД в Вайоминге, который будет потреблять больше энергии, чем все дома штата 2 ч.
Нью-Йорк стал первым штатом США, утвердившим временный мораторий на строительство ЦОД мощностью более 50 МВт 2 ч.
Россия и США договорились летать на МКС до 2030 года, обсудили координацию спутников и лунные программы 2 ч.
Топливный кризис ускорил внедрение электрических такси в Китае 2 ч.
Беспилотным тягачам поручат перевозку багажа в российских аэропортах 2 ч.
Samsung больше нечего скрывать: все новинки грядущей Galaxy Unpacked утекли в Сеть 5 ч.