Esta semana, a Microsoft lançou um patch para corrigir uma vulnerabilidade crítica, classificada como a “mais grave de todos os tempos” no framework multiplataforma ASP.NET Core. A vulnerabilidade, CVE-2025-55315, é uma vulnerabilidade de redirecionamento de solicitação HTTP descoberta no servidor web Kestrel para ASP.NET Core.
Fonte da imagem: Bleeping Computer
Ao explorar esta vulnerabilidade, um invasor autenticado poderia injetar solicitações HTTP adicionais para sequestrar sessões ou contornar recursos de segurança. “Um invasor que explorasse esta vulnerabilidade com sucesso poderia acessar informações confidenciais, como credenciais de usuário, e também modificar o conteúdo de arquivos no servidor alvo, potencialmente causando mau funcionamento do servidor”, afirmou a Microsoft.
A Microsoft recomenda que usuários de diversas versões de plataforma tomem certas medidas para mitigar a vulnerabilidade. Aqueles que usam o .NET 8 e versões posteriores devem usar o Microsoft Update para baixar o patch. Após a instalação, o dispositivo precisará ser reinicializado. Usuários do .NET 2.3 devem atualizar a referência ao pacote Microsoft.AspNetCore.Server.Kestrel.Core e, em seguida, recompilar e reimplantar o aplicativo. Para aplicativos independentes ou de arquivo único, você deve instalar o patch, recompilar e reimplantar o aplicativo. Para corrigir a vulnerabilidade, a Microsoft lançou patches para o Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0, ASP.NET Core 9.0 e o pacote Microsoft.AspNetCore.Server.Kestrel.Core para aplicativos ASP.NET Core 2.x.
Um representante da Microsoft observou que o impacto dos ataques por meio da vulnerabilidade CVE-2025-55315 depende da arquitetura específica do aplicativo. Um invasor pode efetuar login no sistema com as credenciais de outro usuário para aumentar privilégios, executar solicitações internas ocultas e muito mais.”Mas não sabemos exatamente o que pode acontecer, porque depende de como você escreveu sua inscrição. Então, nós”Avaliamos a vulnerabilidade com base no pior cenário possível: ignorar funções de segurança”, disse a fonte, citando um representante da Microsoft.