微软修复ASP.NET Core高危漏洞CVE-2025-55315，立即更新防护

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

微软近日发布安全通告，紧急修复了ASP.NET Core中一个高危安全漏洞，编号为CVE-2025-55315。该漏洞的CVSS评分高达9.9分，接近满分，是目前微软漏洞库中评分最高的安全问题之一。该漏洞影响ASP.NET Core 10.0、9.0、8.0版本及Kestrel组件的2.x系列，攻击者在具备部分访问权限的情况下，可利用HTTP请求与响应解析过程中的不一致性，绕过关键安全防护机制。

此次漏洞的核心在于可能引发HTTP请求/响应走私行为。此类攻击通常利用前端代理与后端服务器在处理HTTP头部字段（如Content-Length或Transfer-Encoding）时的差异，将恶意请求伪装在正常流量中进行传递。微软在公告中强调，针对此类请求走私场景目前尚无有效的临时缓解手段，只能依赖版本更新进行修复。

负责.NET安全的产品经理巴里·多兰斯对此解释称，该漏洞之所以获得极高评分，是因为它可能对基于ASP.NET Core构建的各类应用造成广泛而严重的影响。评分依据并不仅限于漏洞本身的技术细节，而是综合考虑其在实际部署环境中可能引发的连锁安全风险。

根据具体应用场景的不同，若未及时修补，攻击者可能借此实现权限提升、发起服务器端请求伪造（SSRF）、跨站请求伪造（CSRF），甚至绕过输入校验机制实施注入类攻击。因此，微软强烈建议所有相关开发者立即采取应对措施，尽快将系统升级至最新提供的修复版本。

具体修复方案包括：安装ASP.NET Core 8、9或10的最新运行时或SDK补丁，或将项目中的Microsoft.AspNetCore.Server.Kestrel.Core组件更新至2.3.6及以上版本。对于已停止最新支持的.NET 6环境，由于缺乏直接补丁支持，用户可能需要借助第三方维护版本或其他替代方案来降低安全风险。