11月18日消息，接近微軟近日發(fā)布安全公告，滿分緊急修補(bǔ)了ASP.NET Core中的微軟一個(gè)關(guān)鍵漏洞，該漏洞（CVE-2025-55315）CVSS評(píng)分達(dá)到9.9分（滿分10分），修復(fù)成為微軟漏洞庫中評(píng)分最高的評(píng)分漏洞。

該漏洞存在于ASP.NET Core 10.0、達(dá)分9.0、關(guān)鍵8.0版本以及Kestrel包的漏洞2.x版本中，它允許具備一定權(quán)限的接近攻擊者，通過利用HTTP請(qǐng)求和響應(yīng)的滿分不一致解析，來繞過一項(xiàng)重要的微軟網(wǎng)絡(luò)安全特性。

微軟明確指出，修復(fù)對(duì)于HTTP 請(qǐng)求/響應(yīng)走私（HTTP Request/Response Smuggling）場(chǎng)景，評(píng)分當(dāng)前并沒有現(xiàn)成的達(dá)分措施可以緩解。

HTTP請(qǐng)求走私是關(guān)鍵一種常見的攻擊方式，利用服務(wù)器和代理解析HTTP請(qǐng)求頭字段（如Content-Length或Transfer-Encoding）時(shí)的差異，將一個(gè)惡意請(qǐng)求隱藏在另一個(gè)合法請(qǐng)求中。

微軟.NET安全技術(shù)產(chǎn)品經(jīng)理巴里·多蘭斯（Barry Dorrans）解釋了該漏洞獲得高分的原因：

“這個(gè)漏洞使得HTTP請(qǐng)求走私成為可能。我們是根據(jù)這個(gè)漏洞對(duì)基于ASP.NET Core構(gòu)建的應(yīng)用程序可能產(chǎn)生的影響來評(píng)分的，而不是單獨(dú)評(píng)估漏洞本身。”

根據(jù)應(yīng)用程序處理請(qǐng)求的方式，若未及時(shí)修復(fù)，該漏洞可能導(dǎo)致權(quán)限提升、服務(wù)器端請(qǐng)求偽造、跨站請(qǐng)求偽造、繞過輸入驗(yàn)證的注入攻擊等。

微軟強(qiáng)烈建議開發(fā)人員立即采取行動(dòng)，升級(jí)到官方列出的修復(fù)版本，開發(fā)人員必須安裝ASP.NET Core 8、9或10運(yùn)行時(shí)/SDK的補(bǔ)丁版本，或?qū)icrosoft.AspNetCore.Server.Kestrel.Core更新到2.3.6或更高版本。

對(duì)于缺乏官方支持的.NET 6，可能需要依賴第三方發(fā)布的版本來解決該漏洞。