微軟在 2025年10月14日 發布了一項安全性更新,修復了 ASP.NET Core 中的漏洞 CVE-2025-55315,該漏洞允許 HTTP 請求走私。雖然請求走私是已知的攻擊手段,但此次安全更新針對的是CVSS評分較高的場景,旨在鼓勵用戶採取緩解措施。
9.9 分的評分反映了及時解決此問題的重要性。該問題涉及安全功能繞過,可能會影響應用程式強制執行身份驗證和授權的方式。
什麼是HTTP請求走私?
HTTP 請求走私 (HRS) 利用不同元件(例如代理程式和伺服器)解析 HTTP 請求方式的不一致之處。它通常涉及操縱 Content-Length 和 Transfer-Encoding 等標頭,將隱藏的請求注入到另一個請求中。
CVE-2025-55315 詳情
在 ASP.NET Core 中,此漏洞源自於 Kestrel Web 伺服器解析傳入請求的方式。在某些情況下,它無法正確驗證請求邊界,從而允許惡意請求到達應用程式程式碼。
建議所有使用者更新 ASP.NET Core 至最新版本 (下載)。
https://www.microsoft.com/en-us/msrc/blog/2025/10/understanding-cve-2025-55315
Picture Source
negox
留言
張貼留言