【安全资讯】微软紧急修补ASP.NET Core高危漏洞，CVSS评分达9.9创历史新高

概要：

微软近日修补了ASP.NET Core框架中一个被评为高度严重的漏洞，该漏洞CVSS评分高达9.9分，被安全项目经理Barry Dorrans称为“有史以来最高评分”。这一存在于Kestrel网页服务器组件中的安全绕过漏洞，可能允许攻击者通过请求走私技术隐藏恶意请求，对依赖该框架的Web应用构成严重威胁。

主要内容：

该漏洞（CVE-2025-55315）属于请求走私类型，攻击者可将需要认证的请求隐藏在无需认证的普通请求中。Dorrans解释称，这种技术可让攻击者以其他用户身份登录、绕过跨站请求伪造检查或执行注入攻击。

漏洞核心在于Kestrel网页服务器组件对请求处理的逻辑缺陷。当应用程序代码存在异常处理逻辑，特别是跳过本应对每个请求执行的检查时，就会产生安全风险。Dorrans特别指出，具有身份验证和基于验证的访问规则的应用程序最易受到攻击。

该漏洞影响所有受支持的ASP.NET Core版本，包括版本8、9和10预发布版，甚至包括仅运行在Windows .NET Framework上的ASP.NET Core 2.3。修复方案包括下载最新版.NET SDK或通过NuGet包管理器更新Kestrel.Core包至2.3.6版本。

对于采用框架依赖模型部署的应用，需要更新服务器端的.NET环境而非应用程序本身。而使用自包含部署的应用则需逐个更新。微软官方报告显示，目前尚未发现该漏洞在野被利用的情况。