Esta semana, a Microsoft lançou um patch para corrigir uma vulnerabilidade crítica, classificada como a “mais grave de todos os tempos” no framework multiplataforma ASP.NET Core. A vulnerabilidade, CVE-2025-55315, é uma vulnerabilidade de redirecionamento de solicitação HTTP descoberta no servidor web Kestrel para ASP.NET Core.
Fonte da imagem: Bleeping Computer
Ao explorar esta vulnerabilidade, um invasor autenticado poderia injetar solicitações HTTP adicionais para sequestrar sessões ou contornar recursos de segurança. “Um invasor que explorasse esta vulnerabilidade com sucesso poderia acessar informações confidenciais, como credenciais de usuário, e também modificar o conteúdo de arquivos no servidor alvo, potencialmente causando mau funcionamento do servidor”, afirmou a Microsoft.
A Microsoft recomenda que usuários de diversas versões de plataforma tomem certas medidas para mitigar a vulnerabilidade. Aqueles que usam o .NET 8 e versões posteriores devem usar o Microsoft Update para baixar o patch. Após a instalação, o dispositivo precisará ser reinicializado. Usuários do .NET 2.3 devem atualizar a referência ao pacote Microsoft.AspNetCore.Server.Kestrel.Core e, em seguida, recompilar e reimplantar o aplicativo. Para aplicativos independentes ou de arquivo único, você deve instalar o patch, recompilar e reimplantar o aplicativo. Para corrigir a vulnerabilidade, a Microsoft lançou patches para o Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0, ASP.NET Core 9.0 e o pacote Microsoft.AspNetCore.Server.Kestrel.Core para aplicativos ASP.NET Core 2.x.
Um representante da Microsoft observou que o impacto dos ataques por meio da vulnerabilidade CVE-2025-55315 depende da arquitetura específica do aplicativo. Um invasor pode efetuar login no sistema com as credenciais de outro usuário para aumentar privilégios, executar solicitações internas ocultas e muito mais.”Mas não sabemos exatamente o que pode acontecer, porque depende de como você escreveu sua inscrição. Então, nós”Avaliamos a vulnerabilidade com base no pior cenário possível: ignorar funções de segurança”, disse a fonte, citando um representante da Microsoft.
Esta semana, a Microsoft começou a vender os consoles portáteis ROG Xbox Ally e ROG…
Não é segredo que o fundador da Nvidia, Jensen Huang, e Elon Musk mantêm uma…
Placas gráficas com processador duplo já foram procuradas no mercado de jogos de ponta, mas…
A memória HBM4E é considerada a sétima geração dessa tecnologia, que envolve o empilhamento de…
Recentemente, autoridades holandesas, alegando interesses nacionais, assumiram o controle da Nexperia, empresa anteriormente de propriedade…
O Google encerrou oficialmente o projeto Privacy Sandbox, lançado em 2019 para desenvolver um conjunto…