Krytyczna podatność w ASP.NET
Ujawniono poważną lukę bezpieczeństwa w środowisku ASP.NET. Podatność może zostać wykorzystana przez uwierzytelnionego atakującego do obejścia kluczowych mechanizmów ochrony aplikacji. Ze względu na niski poziom złożoności ataku oraz potencjalnie poważne skutki jego wykorzystania, istnieje realne ryzyko naruszenia poufności, integralności i dostępności systemów.
Charakterystyka podatności
- Oznaczenie: CVE-2025-55315
- Score CVSS: 9,9 (Critical)
Podatność umożliwia ukrycie złośliwego żądania HTTP wewnątrz legalnego, co może prowadzić do:
- przejęcia sesji innych użytkowników
- eskalacji uprawnień
- nieautoryzowanego dostępu do danych
- wykonania operacji na systemach wewnętrznych, które nie są bezpośrednio dostępne z zewnątrz.
Podatne systemy
- .NET 10 (Preview): do wersji 10.0.0-rc.1.25451.107
- .NET 9: do wersji 9.0.9 włącznie
- .NET 8: do wersji 8.0.20 włącznie
- ASP.NET Core 2.3: Microsoft.AspNetCore.Server.Kestrel.Core ≤ 2.3.0
- Visual Studio 2022: wersje 17.10, 17.12, 17.14
Działania zapobiegawcze
- Zalecamy niezwłoczne zaktualizowanie środowiska do wersji wolnych od podatności:
| Wersja.NET / ASP.NET Core | Podatne wersje | Aktualizacja do wersji niepodatnej |
| .NET 10 (Preview) | 10.0.0-rc.1.25451.107 i wcześniejsze | 10.0.0-rc.2.25502.107 |
| .NET 9 | do wersji 9.0.9 włącznie | 9.0.10 |
| .NET 8 | do wersji 8.0.20 włącznie | 8.0.21 |
| ASP.NET Core 2.3 | Microsoft.AspNetCore.Server.Kestrel.Core <= 2.3.0 | Microsoft.AspNetCore.Server.Kestrel.Core 2.3.6 |
| Visual Studio 2022 |
|
|
Uwaga: Wersje .NET 6 i 7 (EOL) nie otrzymały poprawek. Rekomendujemy migrację do wspieranej wersji, np. .NET 8.
- zweryfikuj, czy wykorzystywane środowiska są podatne
- wdróż poprawki bezpieczeństwa zgodnie z zaleceniami producenta
- monitoruj logi aplikacyjne pod kątem nietypowych żądań HTTP
- ogranicz dostęp do aplikacji tylko do zaufanych użytkowników i sieci
- regularnie przeprowadzaj testy bezpieczeństwa aplikacji webowych.