新闻中心
——“因为我们的存在,让您的邮件系统更有价值!”
微软修复史上最严重级别的ASP.NET Core漏洞
微软在周二的安全公告中表示:“成功利用此漏洞的攻击者,可查看其他用户凭据等敏感信息(影响机密性)、修改目标服务器上的文件内容(影响完整性),还可能导致服务器崩溃(影响可用性)。”
为确保ASP.NET Core应用程序免受潜在攻击,微软建议开发人员和用户采取以下措施:
- 若运行的是.NET 8或更高版本,需从Microsoft Update安装.NET更新,之后重启应用程序或计算机。
- 若运行的是.NET 2.3,需将Microsoft.AspNet.Server.Kestrel.Core的包引用更新至2.3.6版本,之后重新编译并部署应用程序。
- 若运行的是独立式 / 单文件应用程序,需安装.NET更新,重新编译并部署应用程序。
为修复该漏洞,微软已发布多款安全更新,涵盖Microsoft Visual Studio 2022、ASP.NET Core 2.3、ASP.NET Core 8.0、ASP.NET Core 9.0,以及适用于ASP.NET Core 2.x应用的Microsoft.AspNetCore.Server.Kestrel.Core包。
微软.NET安全技术项目经理巴里・多兰斯(Barry Dorrans)解释称,CVE-2025-55315漏洞的攻击影响取决于目标ASP.NET应用程序的具体情况。成功利用该漏洞可能让攻击者实现以下操作:
- 以其他用户身份登录(实现权限提升);
- 发起内部请求(用于服务器端请求伪造攻击);
- 绕过跨站请求伪造(CSRF)检查;
- 实施注入攻击
多兰斯表示:“但我们无法确定具体会发生什么,因为这取决于应用程序的编写方式。因此,我们在评分时会考虑最糟糕的情况 —— 即可能导致安全功能绕过、改变攻击范围的情况。”他补充道:“这种极端情况可能发生吗?可能性不大,除非你的应用程序代码存在异常,且跳过了本应在每个请求中执行的大量检查。但无论如何,建议你立即进行更新。”
在本月的 “补丁星期二”(Patch Tuesday)中,微软共发布172个漏洞的安全更新,其中包括8个 “严重”(Critical)级别漏洞,以及6个零日漏洞(其中3个已被用于实际攻击)。
本周,微软还发布了累积更新KB5066791。该更新包含Windows 10的最终安全补丁,因为该操作系统已正式进入支持生命周期尾声。
部分信息来源网络,如有侵权请联系删除
