Podatność typu HTTP request/response smuggling w ASP.NET Core pozwala uwierzytelnionemu atakującemu na ominięcie mechanizmów bezpieczeństwa przez sieć. Ocena CVSS 9.9 (CRITICAL) z zakresem wpływu wykraczającym poza podatny komponent czyni tę lukę wyjątkowo niebezpieczną.
▸ Pokaż oryginał (EN)
Inconsistent interpretation of http requests ('http request/response smuggling') in ASP.NET Core allows an authorized attacker to bypass a security feature over a network.
Podatność wynika z niespójnej interpretacji żądań HTTP (CWE-444) przez komponenty ASP.NET Core. Atakujący wysyła spreparowane żądania HTTP, które są różnie parsowane przez serwer front-end i back-end, co powoduje rozbieżność w rozgraniczeniu granic poszczególnych żądań. Dzięki temu możliwe jest przemycenie dodatkowych żądań HTTP, które omijają kontrole bezpieczeństwa stosowane przez pośrednie warstwy infrastruktury (np. reverse proxy, firewalle aplikacyjne). Wektor ataku jest sieciowy, nie wymaga interakcji użytkownika, a do jego przeprowadzenia wystarczy posiadanie podstawowych uprawnień (PR:L).
Uwierzytelniony atakujący może ominąć funkcje bezpieczeństwa aplikacji, co w kontekście HTTP request smuggling może prowadzić do nieautoryzowanego dostępu do danych, przejęcia sesji innych użytkowników lub dalszej eskalacji uprawnień. Wysoki wpływ na poufność i integralność (C:H, I:H) wskazuje na możliwość ujawnienia wrażliwych danych oraz modyfikacji zasobów aplikacji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — aktualizacja powinna być wdrożona niezwłocznie ze względu na krytyczny poziom zagrożenia. Szczegółowe informacje o wersjach zawierających poprawkę dostępne są pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-55315. Do czasu wdrożenia patcha należy rozważyć restrykcyjną konfigurację warstw proxy i firewalli aplikacyjnych w celu ograniczenia możliwości przemycenia żądań.
Microsoft Visual Studio 2022 oraz Microsoft ASP.NET Core — dokładne wersje wskazane w referencjach producenta (MSRC).
Dostępna jest publiczna analiza techniczna podatności pod adresem https://andrewlock.net/understanding-the-worst-dotnet-vulnerability-request-smuggling-and-cve-2025-55315/ oraz publiczny proof-of-concept na platformie GitHub. Mimo braku wpisu w CISA KEV, dostępność publicznego PoC zwiększa ryzyko aktywnego wykorzystania tej podatności.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:LMicrosoft Asp.net Core
APPMicrosoft2.3.0 – 2.3.6 (bez)8.0.0 – 8.0.21 (bez)9.0.0 – 9.0.10 (bez)Microsoft Visual Studio 2022
APPMicrosoft17.10.0 – 17.10.20 (bez)17.12.10 – 17.12.13 (bez)17.14.0 – 17.14.17 (bez)
Powiązane podatności
ASP.NET Core — błąd weryfikacji podpisu kryptograficznego umożliwia privilege escalation
RCE w .NET i Visual Studio — krytyczna podatność umożliwiająca zdalne wykonanie kodu
Podatność omijania funkcji bezpieczeństwa w .NET, .NET Framework i Visual Studio
.NET and Visual Studio Denial of Service Vulnerability
Uncontrolled resource consumption in ASP.NET Core allows an unauthorized attacker to deny service over a netwo...