【安全资讯】微软修复ASP.NET Core史上最高严重性HTTP请求走私漏洞

概要：

微软近日紧急修补了ASP.NET Core框架中一个被评定为“史上最高严重性”的安全漏洞CVE-2025-55315。这一存在于Kestrel web服务器中的HTTP请求走私漏洞，可能让经过身份验证的攻击者劫持用户凭证或绕过前端安全控制，对全球数百万基于.NET的Web应用构成严重威胁。

主要内容：

该漏洞本质是HTTP请求走私缺陷，允许攻击者通过构造恶意请求绕过安全检测。攻击成功后可窃取其他用户登录凭证、篡改服务器文件内容，甚至导致服务崩溃，完整威胁到机密性、完整性和可用性三大安全属性。

技术层面，漏洞源于Kestrel服务器对HTTP请求解析异常，使得攻击者能在单个连接中 smuggled 第二个请求。这种攻击可被用于权限提升、服务器端请求伪造、绕过CSRF防护及注入攻击，具体危害程度取决于目标应用程序的实现逻辑。

微软已发布针对Visual Studio 2022、ASP.NET Core 2.3/8.0/9.0及Microsoft.AspNetCore.Server.Kestrel.Core包的安全更新。开发者需根据运行环境采取不同修复方案：.NET 8+用户需安装更新后重启应用，.NET 2.3用户需更新包引用至2.3.6并重新编译部署。

此漏洞修补正值微软10月补丁日，当日共修复172个漏洞含8个严重级和6个零日漏洞。专家强调尽管完全利用需特定条件，但基于最坏情况考量，建议所有ASP.NET Core用户立即采取更新措施。