科技媒体bleepingcomputer最新披露,微软于10月17日紧急修复了编号CVE-2025-55315的HTTP请求走私漏洞,该漏洞被官方列为”ASP.NET Core历史上最致命安全漏洞”。这一高危漏洞存在于ASP.NET Core框架的Kestrel Web服务器组件中,攻击者可通过精心构造的恶意HTTP请求,实现对用户凭证的恶意劫持、安全控制机制的绕过等危险操作。微软在安全公告中明确指出,该漏洞若被成功利用,可能导致用户敏感数据泄露、服务器文件被非法篡改,甚至引发服务完全崩溃的灾难性后果。
.NET安全项目经理Barry Dorrans特别强调,该漏洞的实际危害程度与具体应用程序的编码逻辑密切相关。针对此次漏洞,微软向广大开发者发布了紧急修复指南:对于运行.NET 8及以上版本的应用,必须立即安装官方发布的补丁更新并重启服务;而对于仍在使用.NET 2.3版本的开发者,则需将Kestrel核心包升级至2.3.6版本,并完成重新编译部署流程。安全专家建议所有开发者立即开展应用自查,确保及时完成系统更新,以防范潜在的安全风险。此次漏洞的修复再次凸显了网络安全防护的极端重要性,提醒开发者在系统架构设计时必须充分考虑各类潜在攻击路径。
