Microsoft a lansat recent un patch pentru o vulnerabilitate critică din Kestrel, serverul web utilizat de ASP.NET Core, care poate permite atacuri de tip HTTP request smuggling și poate afecta aplicațiile găzduite pe .NET. Problema, identificată ca CVE-2025-55315, a generat îngrijorare din cauza potențialului de a expune credențiale ale utilizatorilor, de a modifica fișiere pe server și chiar de a produce blocări ale serviciului.
Vulnerabilitatea a primit cel mai înalt nivel de severitate acordat vreodată unui bug ASP.NET Core și, pe scurt, permite unui atacator autentificat să „insereze” o cerere HTTP suplimentară astfel încât să intercepteze sau să deturneze date ale altor utilizatori sau să ocolească controale de securitate front-end. Microsoft a explicat că un atac reușit poate duce la vizualizarea informațiilor sensibile ale altor utilizatori (confidențialitate), modificarea conținutului fișierelor de pe server (integritate) și, posibil, la blocarea serverului (disponibilitate).
Pentru protecție, dezvoltatorii și administratorii trebuie să aplice actualizările recomandate de Microsoft. Dacă aplicațiile rulează pe .NET 8 sau versiuni ulterioare, se sugerează instalarea update-ului prin Microsoft Update și repornirea aplicației sau a mașinii. Pentru mediile care folosesc ASP.NET Core 2.3, este necesară actualizarea pachetului Microsoft.AspNet.Server.Kestrel.Core la versiunea 2.3.6, recompilarea și redeploy-ul. În cazul aplicațiilor self-contained sau single-file, pașii sunt instalarea update-ului, recompilarea și redeploy-ul. Microsoft a publicat patch-uri pentru Visual Studio 2022, pentru ASP.NET Core 2.3, 8.0 și 9.0 și pentru pachetul Microsoft.AspNetCore.Server.Kestrel.Core destinat aplicațiilor 2.x.
Barry Dorrans, manager tehnic pentru securitatea .NET, a subliniat că impactul concret al exploatărilor CVE-2025-55315 depinde mult de modul în care este scrisă aplicația țintă. Exploatarea ar putea permite autentificarea ca alt utilizator pentru escaladare de privilegii, efectuarea de cereri interne neautorizate (server-side request forgery), ocolirea verificărilor CSRF sau introducerea de injecții, însă exact ce este posibil variază în funcție de logica aplicației. Practic, echipa a evaluat vulnerabilitatea în cel mai rău scenariu posibil, ca un bypass de securitate ce extinde aria de risc. Dorrans a menționat că probabilitatea exploatării în lumea reală scade dacă aplicația implementează controale standard pe fiecare cerere, dar recomandarea fermă rămâne: actualizați.
Remedierile fac parte din Patch Tuesday al acestei luni, când Microsoft a livrat update-uri pentru 172 de vulnerabilități, dintre care opt aveau rating „Critical” și șase erau zero-day, trei dintre ele fiind deja exploatate. Tot în această săptămână, compania a publicat KB5066791, un update cumulativ care include ultimele corecții de securitate pentru Windows 10, în contextul încheierii ciclului de suport pentru acel sistem de operare.
Datele din buletinul de securitate evidențiază importanța unei bune igiene a codului și aplicarea patch-urilor: CVE-2025-55315 afectează componente larg utilizate (Kestrel, ASP.NET Core 2.x, 8.0, 9.0 și Visual Studio 2022) și impune acțiuni concrete, instalare de update, recompilare și redeploy acolo unde este necesar. Update-urile prin Microsoft Update și pachetele noi pentru Kestrel sunt principalele soluții disponibile momentan.
Aspectul tehnic esențial este că acest tip de bug permite manipularea modului în care serverul procesează fluxul de cereri HTTP, creând posibilitatea ca o cerere malițioasă să fie „ascunsă” într-alta. În practică, asta poate însemna ocolirea validărilor sau expunerea datelor sensibile în aplicații care nu verifică cu atenție fiecare cerere. Din punct de vedere operațional, echipele ar trebui să verifice versiunile .NET folosite, să aplice patch-urile specifice (inclusiv pentru aplicații self-contained) și să recompileze și redeploy-eze componentele afectate.
Microsoft a recomandat prioritizarea actualizărilor pentru serverele și mediile de producție unde rulează aplicații ASP.NET Core, iar în mediile de dezvoltare aplicarea noilor versiuni ale pachetelor și recompilarea binarelor. Chiar dacă riscul efectiv variază în funcție de implementarea aplicației, gravitatea clasificării impune măsuri preventive și verificări suplimentare în lanțul de procesare a cererilor HTTP.
Lista pachetului CVE-2025-55315 și a componentelor afectate (Kestrel, ASP.NET Core 2.3/8.0/9.0, Microsoft.AspNetCore.Server.Kestrel.Core, Visual Studio 2022) oferă un ghid practic: aplicați update-urile Microsoft, recompilați aplicațiile care necesită acest lucru și monitorizați comportamentul serverelor după redeploy. Această situație reamintește importanța menținerii dependențelor la zi și a existenței unor proceduri automate de update în medii critice.
Microsoft a aplicat ratingul maxim pentru a reflecta cel mai sever scenariu posibil; asta nu înseamnă că toate aplicațiile vor fi compromise, dar indică un risc real pentru aplicațiile cu controale incomplete. Exemplele concrete din comunicat includ posibilitatea autentificării ca un alt utilizator, efectuarea de cereri interne neautorizate și ocolirea protecțiilor CSRF, aspecte ce pot avea consecințe serioase în aplicațiile care procesează date sensibile sau gestionează privilegii.
CVE-2025-55315 se numără printre cele mai importante probleme remediate în această rundă de patch-uri, iar KB5066791 marchează și finalul actualizărilor pentru Windows 10 în această etapă. Următorii pași sunt simpli: verificați versiunile, instalați update-urile și recompilați acolo unde este necesar; pentru dezvoltatori, notificările de securitate rămân o preocupare constantă.
CVE-2025-55315 afectează explicit componentele Kestrel și ASP.NET Core menționate, iar măsurile practice sunt instalarea update-urilor oferite de Microsoft și reprocesarea aplicațiilor când este nevoie. Dacă administrați sau dezvoltați astfel de aplicații, prioritizați patch-urile pentru .NET 8+, actualizați pachetele Kestrel pentru 2.3.x, recompilați și redeploy-ați aplicațiile self-contained. Sunteți pregătit să verificați versiunile din mediu și să porniți actualizările acum?
Fii primul care comentează