Компания Microsoft выпустила экстренный патч для закрытия критической уязвимости CVE-2025-55315 в веб-сервере Kestrel для ASP.NET Core. Уязвимость, оцененная как наиболее серьезная за всю историю фреймворка, позволяла злоумышленникам получать доступ к конфиденциальным данным и нарушать работу серверов.
Характеристики уязвимости:
-
Идентификатор: CVE-2025-55315
-
Компонент: Веб-сервер Kestrel в ASP.NET Core
-
Механизм: Уязвимость перенаправления HTTP-запросов
-
Риск: Критический (CVSS 9.8)
Возможные атаки:
-
Перехват сессий: Получение учетных данных и токенов авторизации
-
Обход безопасности: Несанкционированный доступ к защищенным функциям
-
Изменение данных: Модификация файлов на сервере
-
Отказ в обслуживании: Нарушение работы серверных приложений
Рекомендуемые действия:
Для .NET 8 и новее:
-
Включить Microsoft Update
-
Установить автоматические обновления
-
Перезагрузить системы после установки патча
Для .NET Core 2.x:
-
Обновить пакет
Microsoft.AspNetCore.Server.Kestrel.Core -
Перекомпилировать и переразвернуть приложения
Для автономных приложений:
-
Установить последние обновления .NET
-
Пересобрать и переразвернуть приложения
Затронутые версии:
-
Visual Studio 2022
-
ASP.NET Core 2.3
-
ASP.NET Core 8.0
-
ASP.NET Core 9.0
-
Microsoft.AspNetCore.Server.Kestrel.Core (для ASP.NET Core 2.x)
Контекст угрозы:
По словам представителя Microsoft, последствия эксплуатации зависят от архитектуры конкретного приложения. Злоумышленник мог:
-
Выполнять скрытые внутренние запросы
-
Повышать привилегии используя чужие учетные данные
-
Обходить системы аутентификации и авторизации
Рекомендация: Компаниям следует немедленно установить обновления и провести аудит своих ASP.NET Core приложений на предмет необычной активности. Уязвимость уже активно исследуется сообществом безопасности, что увеличивает риск скорейшей эксплуатации в дикой природе.
Подписывайтесь на наш телеграмм канал и читайте новости в удобном формате — https://t.me/occlub_ru. Прямо сейчас там идет розыгрыш корпуса.
