No início desta semana, a Microsoft corrigiu uma vulnerabilidade que recebeu a classificação mais alta já registrada para uma falha de segurança no ASP.NET Core.
Trata-se de um bug de HTTP request smuggling (
CVE-2025-55315
) identificado no servidor web Kestrel do ASP.NET Core.
Essa falha permite que atacantes autenticados enviem uma requisição HTTP oculta para sequestrar credenciais de outros usuários ou contornar controles de segurança implementados no front-end.
Segundo a Microsoft, em comunicado divulgado na terça-feira (14), "um invasor que explorar com sucesso essa vulnerabilidade poderá acessar informações sensíveis, como credenciais de outros usuários (confidencialidade), modificar conteúdos de arquivos no servidor alvo (integridade) e até causar uma falha no servidor (disponibilidade)."
Para proteger suas aplicações ASP.NET Core contra possíveis ataques, a Microsoft recomenda as seguintes ações:
- Para quem utiliza .NET 8 ou versões superiores, instale a atualização pelo Microsoft Update e reinicie a aplicação ou o equipamento.
- No caso do .NET 2.3, atualize a referência do pacote Microsoft.AspNet.Server.Kestrel.Core para a versão 2.3.6, recompile a aplicação e faça o redeploy.
- Para aplicações self-contained ou single-file, instale a atualização do .NET, recompile e faça o redeploy.
Além disso, a Microsoft lançou atualizações de segurança para Microsoft Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0, ASP.NET Core 9.0 e para o pacote Microsoft.AspNetCore.Server.Kestrel.Core, voltado a aplicações ASP.NET Core 2.x.
Barry Dorrans, gerente técnico do programa de segurança do .NET, explicou que o impacto dos ataques explorando a
CVE-2025-55315
varia conforme a aplicação ASP.NET afetada.
Um exploit bem-sucedido pode permitir que invasores façam login como outro usuário (escalação de privilégios), realizem requisições internas (server-side request forgery), burlarem verificações contra CSRF ou executem ataques de injeção.
"Não sabemos exatamente o que é possível, pois depende da forma como sua aplicação foi desenvolvida. Por isso, damos a maior nota de risco considerando o pior cenário: um bypass em recurso de segurança que altera o escopo do controle", detalhou Dorrans.
"Isso é provável? Não. Provavelmente não, a menos que seu código faça algo fora do comum e ignore várias checagens que deveriam ser feitas a cada requisição. Ainda assim, atualize o quanto antes."
Durante o Patch Tuesday deste mês, a Microsoft liberou correções para 172 vulnerabilidades, incluindo oito classificadas como Critical e seis bugs zero-day (três deles já explorados em ataques).
Também nesta semana, foi publicada a KB5066791, uma atualização cumulativa que traz as últimas correções de segurança para o Windows 10, conforme o sistema operacional se aproxima do fim do seu ciclo de suporte.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...