11月18日消息，接近微軟近日發(fā)布安全公告，滿分緊急修補(bǔ)了ASP.NET Core中的微軟一個(gè)關(guān)鍵漏洞，該漏洞（CVE-2025-55315）CVSS評(píng)分達(dá)到9.9分（滿分10分），修復(fù)成為微軟漏洞庫(kù)中評(píng)分最高的評(píng)分漏洞。

該漏洞存在于ASP.NET Core 10.0、達(dá)分9.0、關(guān)鍵8.0版本以及Kestrel包的漏洞2.x版本中，它允許具備一定權(quán)限的接近攻擊者，通過(guò)利用HTTP請(qǐng)求和響應(yīng)的滿分不一致解析，來(lái)繞過(guò)一項(xiàng)重要的微軟網(wǎng)絡(luò)安全特性。

微軟明確指出，修復(fù)對(duì)于HTTP 請(qǐng)求/響應(yīng)走私（HTTP Request/Response Smuggling）場(chǎng)景，評(píng)分當(dāng)前并沒(méi)有現(xiàn)成的達(dá)分措施可以緩解。

HTTP請(qǐng)求走私是關(guān)鍵一種常見(jiàn)的攻擊方式，利用服務(wù)器和代理解析HTTP請(qǐng)求頭字段（如Content-Length或Transfer-Encoding）時(shí)的差異，將一個(gè)惡意請(qǐng)求隱藏在另一個(gè)合法請(qǐng)求中。

微軟.NET安全技術(shù)產(chǎn)品經(jīng)理巴里·多蘭斯（Barry Dorrans）解釋了該漏洞獲得高分的原因：

“這個(gè)漏洞使得HTTP請(qǐng)求走私成為可能。我們是根據(jù)這個(gè)漏洞對(duì)基于ASP.NET Core構(gòu)建的應(yīng)用程序可能產(chǎn)生的影響來(lái)評(píng)分的，而不是單獨(dú)評(píng)估漏洞本身。”

根據(jù)應(yīng)用程序處理請(qǐng)求的方式，若未及時(shí)修復(fù)，該漏洞可能導(dǎo)致權(quán)限提升、服務(wù)器端請(qǐng)求偽造、跨站請(qǐng)求偽造、繞過(guò)輸入驗(yàn)證的注入攻擊等。

微軟強(qiáng)烈建議開(kāi)發(fā)人員立即采取行動(dòng)，升級(jí)到官方列出的修復(fù)版本，開(kāi)發(fā)人員必須安裝ASP.NET Core 8、9或10運(yùn)行時(shí)/SDK的補(bǔ)丁版本，或?qū)icrosoft.AspNetCore.Server.Kestrel.Core更新到2.3.6或更高版本。

對(duì)于缺乏官方支持的.NET 6，可能需要依賴第三方發(fā)布的版本來(lái)解決該漏洞。

• ·“官僚主義”纏身的亞馬遜 開(kāi)始被多面夾擊
• ·中國(guó)“00后”棋手廖元赫問(wèn)鼎三星杯
• ·華為Mate 30 RS保時(shí)捷被火燒到面目全非：還能充電玩游戲
• ·《塞爾達(dá)傳說(shuō)》首部真人電影首批劇照來(lái)了：塞爾達(dá)、林克亮相
• ·（粵港澳全運(yùn)會(huì)）新科“百米飛人”李澤洋：中國(guó)短跑大旗我們來(lái)扛
• ·（粵港澳全運(yùn)會(huì)）高爾夫球賽落幕：匡洋“一騎絕塵”、張維維延長(zhǎng)賽絕殺奪金
• ·何小鵬：小鵬IRON人形機(jī)器人的成本和銷售價(jià)和汽車接近
• ·52個(gè)人用AI做PPT 年賺7個(gè)億
• ·光峰科技在LIPA 2025大會(huì)發(fā)聲：激光 + LCoS 方案引領(lǐng) AR 眼鏡體驗(yàn)革新
• ·（粵港澳全運(yùn)會(huì)）十五運(yùn)會(huì)皮劃艇靜水項(xiàng)目決出4金 名將上演“速度與激情”
• ·行業(yè)首款自帶云臺(tái)的機(jī)器人手機(jī)！榮耀ROBOT PHONE真機(jī)首次亮相
• ·迪士尼退出DEI 相關(guān)術(shù)語(yǔ)全部刪除
• ·Solidigm 為AI打造高性能、高能效的存儲(chǔ)底座
• ·教育觀察：浙江中小學(xué)為什么放“秋假”？
• ·三星內(nèi)存漲價(jià)：手機(jī)/電腦抓緊時(shí)間買了
• ·何小鵬：最艱難血海中見(jiàn)光芒 下一個(gè)3年更酷