| 風險等級: |
高度威脅 |
| 摘 要: |
弱點通告:微軟發布 (ASP.NET Core) 重大弱點,建議請管理者儘速更新! |
| 影響系統: |
Microsoft ASP.NET Core 10.0.0-rc.1.25451.107 (含)之前版本Microsoft ASP.NET Core 9.0.9 (含)之前版本Microsoft ASP.NET Core 8.0.20 (含)之前版本Microsoft ASP.NET Core 2.3.0 (含)之前版本 (the package Microsoft.AspNetCore.Server.Kestrel.Core) |
| 解決辦法: |
Microsoft 已釋出修補版本,請參考 Microsoft 官方網站的說明確認目前版本是否受影響,並下載對應修補版本。
Microsoft ASP.NET Core 10.0.0-rc.2.25502.107 (含)之後版本
Microsoft ASP.NET Core 9.0.10 (含)之後版本
Microsoft ASP.NET Core 8.0.21 (含)之後版本
Microsoft ASP.NET Core 2.3.6 (含)之後版本 (the package Microsoft.AspNetCore.Server.Kestrel.Core) |
| 細節描述: |
Microsoft 近期修補了重大弱點 (CVE-2025-55315),存在於ASP.NET Core,可被用於繞過安全功能。
CVE-2025-55315: CVSS 9.9
攻擊者可藉由該弱點發送惡意 HTTP 請求來觸發,一旦成功利用,攻擊者就可能竊取機敏資訊 (如其他使用者的身分驗證資料、竄改目標伺服器的檔案、造成伺服器意外中止等情況。微軟針對ASP.NET 2.3、8.0、9.0、10.0,以及 Visual Studio 2022 發布修補程式。
該弱點能被用於 HTTP 請求走私 (HTTP Request Smuggling) 攻擊,而有可能影響應用程式強制要求執行身分驗證、授權,以及其他重要的安全檢查流程,使得攻擊者只要發出偽造請求,並將另一個請求埋藏其中,就有可能冒充其他使用者來提升權限,或是產生內部請求進行伺服器請求偽造(SSRF)攻擊,此外,攻擊者還能繞過跨網站請求偽造 (CSRF) 的檢查機制,或是繞過輸入驗證進行注入攻擊等衍伸情況。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php |
| 參考資訊: |
iThome
NVD (CVE-2025-55315
MSRC
Github
|
| |
