CVE-2025-55315: критическая дыра в Kestrel давала воровать сессии и обходить фильтры — Microsoft срочно выпустила патч
NewsMakerЕсли сервер ещё не обновлён — считайте, что он уже взломан.
Microsoft устранила опасную уязвимость в веб-сервере Kestrel для ASP.NET Core. Она получила идентификатор CVE-2025-55315 и относится к типу HTTP request smuggling (в русскоязычной практике — переправка HTTP-запросов). Ошибка позволяет злоумышленнику, вошедшему под действующей учётной записью, «встроить» дополнительный запрос и тем самым перехватить чужие сессии либо обойти внешние фильтры безопасности. В официальном описании отмечается, что атака способна привести к утечке конфиденциальных данных, включая учётные сведения пользователей, изменению файлов на сервере и сбою в его работе, который влияет на доступность ресурса.
Чтобы закрыть брешь, Microsoft подготовила чёткие рекомендации для разных версий платформы и способов развёртывания. Пользователям .NET 8 и более новых сборок следует установить обновление через Microsoft Update, а затем перезапустить приложение или просто перезагрузить компьютер. Для ASP.NET Core 2.3 требуется обновить ссылку на пакет Microsoft.AspNet.Server.Kestrel.Core до версии 2.3.6, после чего пересобрать проект и повторно его опубликовать. В сопроводительных документах отдельно указано, что для ветки 2.x нужно также обновить пакет Microsoft.AspNetCore.Server.Kestrel.Core — и снова перекомпилировать и развернуть приложение. В случае самодостаточных (self-contained) или однофайловых (single-file) приложений шаги те же: установить обновление платформы, пересобрать и переустановить исполняемые файлы. Одновременно вышли патчи безопасности для Microsoft Visual Studio 2022, ASP.NET Core 2.3, 8.0 и 9.0.
Менеджер программы безопасности .NET Барри Дорранс пояснил, что последствия эксплуатации зависят от архитектуры конкретного веб-приложения. Потенциально уязвимость позволяет атакующему авторизоваться под чужим именем, инициировать скрытые внутренние запросы, реализуя SSRF , обходить защиту от CSRF или выполнять инъекции. Оценка риска была выставлена по наихудшему сценарию — как security feature bypass, при котором нарушается работа встроенных механизмов защиты. Хотя вероятность такого сценария в обычных проектах невысока при корректной валидации запросов, Microsoft настоятельно рекомендует установить обновления всем пользователям.
Октябрьский цикл исправлений у Microsoft оказался особенно крупным: компания выпустила патчи для 172 уязвимостей, из которых восемь признаны критическими, а шесть относятся к типу zero-day — три из них уже активно использовались в атаках. В тот же период вышел и пакет KB5066791 — кумулятивное обновление, включающее финальные патчи безопасности для Windows 10 в связи с завершением срока её официальной поддержки.
Microsoft устранила опасную уязвимость в веб-сервере Kestrel для ASP.NET Core. Она получила идентификатор CVE-2025-55315 и относится к типу HTTP request smuggling (в русскоязычной практике — переправка HTTP-запросов). Ошибка позволяет злоумышленнику, вошедшему под действующей учётной записью, «встроить» дополнительный запрос и тем самым перехватить чужие сессии либо обойти внешние фильтры безопасности. В официальном описании отмечается, что атака способна привести к утечке конфиденциальных данных, включая учётные сведения пользователей, изменению файлов на сервере и сбою в его работе, который влияет на доступность ресурса.
Чтобы закрыть брешь, Microsoft подготовила чёткие рекомендации для разных версий платформы и способов развёртывания. Пользователям .NET 8 и более новых сборок следует установить обновление через Microsoft Update, а затем перезапустить приложение или просто перезагрузить компьютер. Для ASP.NET Core 2.3 требуется обновить ссылку на пакет Microsoft.AspNet.Server.Kestrel.Core до версии 2.3.6, после чего пересобрать проект и повторно его опубликовать. В сопроводительных документах отдельно указано, что для ветки 2.x нужно также обновить пакет Microsoft.AspNetCore.Server.Kestrel.Core — и снова перекомпилировать и развернуть приложение. В случае самодостаточных (self-contained) или однофайловых (single-file) приложений шаги те же: установить обновление платформы, пересобрать и переустановить исполняемые файлы. Одновременно вышли патчи безопасности для Microsoft Visual Studio 2022, ASP.NET Core 2.3, 8.0 и 9.0.
Менеджер программы безопасности .NET Барри Дорранс пояснил, что последствия эксплуатации зависят от архитектуры конкретного веб-приложения. Потенциально уязвимость позволяет атакующему авторизоваться под чужим именем, инициировать скрытые внутренние запросы, реализуя SSRF , обходить защиту от CSRF или выполнять инъекции. Оценка риска была выставлена по наихудшему сценарию — как security feature bypass, при котором нарушается работа встроенных механизмов защиты. Хотя вероятность такого сценария в обычных проектах невысока при корректной валидации запросов, Microsoft настоятельно рекомендует установить обновления всем пользователям.
Октябрьский цикл исправлений у Microsoft оказался особенно крупным: компания выпустила патчи для 172 уязвимостей, из которых восемь признаны критическими, а шесть относятся к типу zero-day — три из них уже активно использовались в атаках. В тот же период вышел и пакет KB5066791 — кумулятивное обновление, включающее финальные патчи безопасности для Windows 10 в связи с завершением срока её официальной поддержки.