На этой неделе Microsoft выпустила патч для исправления критической уязвимости, которая получила отметку как «самая серьёзная за всю историю» кроссплатформенного фреймворка ASP.NET Core. Речь об уязвимости CVE-2025-55315, которая связана с перенаправлением HTTP-запросов и была выявлена в веб-сервере Kestrel для ASP.NET Core.
- Почему ИИ никак не сесть на безматричную диету
- Фитнес-браслет HUAWEI Band 10: настоящий металл
- Пять причин полюбить HONOR X8c
- HUAWEI FreeArc: вероятно, самые удобные TWS-наушники
- Hollow Knight: Silksong — песнь страданий и радостей. Рецензия
- Пять причин полюбить HONOR Pad V9
- Пять причин полюбить HONOR Magic7 Pro
- Обзор умных часов HUAWEI WATCH 5: часы юбилейные
Почему ИИ никак не сесть на безматричную диету
Фитнес-браслет HUAWEI Band 10: настоящий металл
Пять причин полюбить HONOR X8c
HUAWEI FreeArc: вероятно, самые удобные TWS-наушники
Hollow Knight: Silksong — песнь страданий и радостей. Рецензия
Пять причин полюбить HONOR Pad V9
Пять причин полюбить HONOR Magic7 Pro
Обзор умных часов HUAWEI WATCH 5: часы юбилейные
Используя упомянутую уязвимость, авторизованный в системе злоумышленник мог встраивать дополнительные HTTP-запросы для перехвата чужих сессий или обхода функций безопасности. «Злоумышленник, использующий эту уязвимость, может получить доступ к конфиденциальной информации, такой как учётные данные пользователей, а также может вносить изменения в содержимое файлов на целевом сервере, что может приводить к сбоям в его работе», — говорится в сообщении Microsoft.
Пользователям разных версий платформы Microsoft рекомендует предпринять определённые действия, чтобы закрыть уязвимость. Тем, кто использует .NET 8 и более новые версии фреймворка, рекомендуется задействовать сервис Microsoft Update для загрузки патча, после чего он установится и устройство нужно будет перезагрузить. Пользователям .NET 2.3 требуется обновиться ссылку на пакет Microsoft.AspNetCore.Server.Kestrel.Core, а затем заново скомпилировать и развернуть приложение. Если же речь о самодостаточных или однофайловых приложениях, то следует установить патч, заново скомпилировать и развернуть приложение. Для устранения уязвимости Microsoft выпустила патчи для Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0, ASP.NET Core 9.0 и пакета Microsoft.AspNetCore.Server.Kestrel.Core для приложений с ASP.NET Core 2.x.
Представитель Microsoft отметил, что последствия атак через уязвимость CVE-2025-55315 зависят от архитектуры конкретного приложения. Злоумышленник может авторизоваться в системе с данными другого пользователя для повышения привилегий, осуществлять выполнение скрытых внутренних запросов и др. «Но мы не знаем, что именно может произойти, поскольку это зависит от того, как вы написали своё приложение. Поэтому мы оцениваем уязвимость исходя из наихудшего возможного сценария — обхода функций безопасности», — приводи источник слова представителя Microsoft.
