微软紧急修复高危ASP.NET Core漏洞，黑客可窃密并完全掌控

10月18日，科技媒体bleepingcomputer发布报道称，微软已成功修复追踪编号为CVE-2025-55315的安全漏洞，该漏洞被标记为"ASP.NET Core史上最严重的安全隐患"。

这处漏洞属于HTTP请求走私类型，具体存在于ASP.NET Core的Kestrel Web服务器中。攻击者一旦通过身份验证，便可利用此漏洞"夹带"恶意HTTP请求，从而劫持其他用户凭证或绕过前端安全控制。

需要说明的是，"请求走私"是指攻击者通过构造边界模糊的HTTP请求，欺骗服务器错误解析请求内容，从而将恶意请求隐藏于正常通信中，用以绕过安全检查或攻击其他用户。

根据微软周二发布的安全公告，攻击者成功利用该漏洞后，不仅能查看其他用户的敏感凭证（破坏机密性），还可修改服务器文件内容（破坏完整性），甚至可能直接导致服务崩溃（破坏可用性）。

.NET安全技术项目负责人Barry Dorrans解释称，CVE-2025-55315的实际影响取决于目标ASP.NET应用程序的具体编码方式。

如果应用程序本身存在跳过请求检查的逻辑缺陷，可能导致最坏情况——攻击者完全绕过核心安全功能。尽管他表示发生最坏情况的可能性较低，但微软仍以最严重情境评估危险等级。

除上述极端情况外，该漏洞可能造成的后果还包括权限提升、服务器端请求伪造、跨站请求伪造检查绕过或注入攻击执行。

为确保ASP.NET Core应用程序免受潜在攻击，微软强烈建议开发者和用户立即采取修复措施：

运行.NET 8或更高版本的用户需安装微软最新更新并重启应用或设备；

运行.NET 2.3的用户则需将Microsoft.AspNet.Server.Kestrel.Core包更新至2.3.6版本并重新编译部署；

对于自包含或单文件应用程序，也需要在安装.NET更新后重新编译和部署。