微軟十月修補程式星期二更新解決了 ASP.NET Core 開源 Web 開發框架中的一個嚴重漏洞。該漏洞的編號為 CVE-2025-55315，CVSS 評分為 9.9，.NET 安全專案經理 Barry Dorrans表示，這是 ASP.NET Core 問題「有史以來的最高評分」。

該問題被描述為一個 HTTP 請求走私漏洞，可用於繞過網路上的安全功能。它是在 ASP.NET Core 內建的 Web 伺服器 Kestrel 中發現的。微軟解釋說：「成功利用此漏洞的攻擊者可以走私另一個 HTTP 請求並繞過前端安全控製或劫持其他用戶的憑證。」

微軟已針對 Microsoft Visual Studio 2022 版本 17.14、17.12和 17.10 以及 ASP.NET Core 版本 2.3、8.0、9.0 和 10.0 RC1 發布了更新，修復了漏洞。此外，微軟也發布了 Microsoft.AspNetCore.Server.Kestrel.Core 版本 2.3.6，修復了漏洞。

此CVE-2025-55315漏洞以其極高的CVSS評分（9.9/10.0）震撼了資安界，標誌著ASP.NET Core生態系統面臨前所未有的威脅等級。此漏洞位於ASP.NET Core內建的高效能網頁伺服器Kestrel中，這意味著所有使用Kestrel作為其前端伺服器的應用程式都可能受到影響。

HTTP請求走私（HTTP Request Smuggling）是一種惡意技術，攻擊者利用伺服器和前端代理之間對HTTP請求長度處理的歧義，將一個惡意請求「走私」到伺服器處理隊列中。此漏洞的關鍵危害在於它能實現兩個致命的攻擊目標：

1. 繞過前端安全控制： 許多Web應用程式依賴前端代理伺服器或Web應用程式防火牆（WAF）進行安全檢查、認證和過濾。攻擊者可以走私請求，使其在到達Kestrel伺服器時，繞過這些前端的安全屏障。這可能允許攻擊者直接存取受保護的資源，或執行未經授權的操作。

2. 劫持用戶憑證與會話： 走私的惡意請求可以插入到另一個合法用戶的請求隊列之前或之後。攻擊者可能因此能夠攔截或修改合法用戶的會話，甚至竊取其Cookie、Token或憑證。這對使用受漏洞影響的應用程式的用戶隱私和數據安全構成直接威脅。

鑑於ASP.NET Core在企業應用程式、雲端服務和Web API中的廣泛應用，此漏洞的影響範圍極為深遠。所有基於受影響版本的.NET Web應用程式（無論是舊版2.3，還是最新的9.0、10.0 RC1），都需要立即採取行動。

微軟已針對Visual Studio和受影響的ASP.NET Core組件發布了更新。企業開發團隊和IT維護人員必須將此修補工作列為最高優先級。未能及時修補不僅會使應用程式暴露於遠端攻擊，更可能因數據洩露或用戶會話劫持而面臨嚴重的合規和法律風險。對於無法立即修補的環境，建議採用嚴格的網路配置和**深度封包檢查（DPI）**策略，嘗試在網路層面緩解請求走私的風險，但在任何情況下，最終的軟體更新都是消除此CVSS 9.9風險的唯一途徑。

資料來源：https://www.securityweek.com/highest-ever-severity-score-assigned-by-microsoft-to-asp-net-core-vulnerability/