Microsoft исправила критическую уязвимость ASP.NET Core, которая позволяла красть секретные данные и ломать серверы

На этой неделе Microsoft выпустила патч для исправления критической уязвимости, которая получила отметку как «самая серьёзная за всю историю» кроссплатформенного фреймворка ASP.NET Core. Речь об уязвимости CVE-2025-55315, которая связана с перенаправлением HTTP-запросов и была выявлена в веб-сервере Kestrel для ASP.NET Core.

Используя упомянутую уязвимость, авторизованный в системе злоумышленник мог встраивать дополнительные HTTP-запросы для перехвата чужих сессий или обхода функций безопасности. «Злоумышленник, использующий эту уязвимость, может получить доступ к конфиденциальной информации, такой как учётные данные пользователей, а также может вносить изменения в содержимое файлов на целевом сервере, что может приводить к сбоям в его работе», — говорится в сообщении Microsoft.

Пользователям разных версий платформы Microsoft рекомендует предпринять определённые действия, чтобы закрыть уязвимость. Тем, кто использует .NET 8 и более новые версии фреймворка, рекомендуется задействовать сервис Microsoft Update для загрузки патча, после чего он установится и устройство нужно будет перезагрузить. Пользователям .NET 2.3 требуется обновиться ссылку на пакет Microsoft.AspNetCore.Server.Kestrel.Core, а затем заново скомпилировать и развернуть приложение. Если же речь о самодостаточных или однофайловых приложениях, то следует установить патч, заново скомпилировать и развернуть приложение. Для устранения уязвимости Microsoft выпустила патчи для Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0, ASP.NET Core 9.0 и пакета Microsoft.AspNetCore.Server.Kestrel.Core для приложений с ASP.NET Core 2.x.

Представитель Microsoft отметил, что последствия атак через уязвимость CVE-2025-55315 зависят от архитектуры конкретного приложения. Злоумышленник может авторизоваться в системе с данными другого пользователя для повышения привилегий, осуществлять выполнение скрытых внутренних запросов и др. «Но мы не знаем, что именно может произойти, поскольку это зависит от того, как вы написали своё приложение. Поэтому мы оцениваем уязвимость исходя из наихудшего возможного сценария — обхода функций безопасности», — приводи источник слова представителя Microsoft.