CRITICAL✓ PATCH🇬🇧 English

CVE-2025-55315

HTTP Request Smuggling w ASP.NET Core umożliwia ominięcie zabezpieczeń

CVSS 9.9v3.1pub. 2025-10-14upd. 2025-10-28

Podatność typu HTTP request/response smuggling w ASP.NET Core pozwala uwierzytelnionemu atakującemu na ominięcie mechanizmów bezpieczeństwa przez sieć. Ocena CVSS 9.9 (CRITICAL) z zakresem wpływu wykraczającym poza podatny komponent czyni tę lukę wyjątkowo niebezpieczną.

Pokaż oryginał (EN)

Inconsistent interpretation of http requests ('http request/response smuggling') in ASP.NET Core allows an authorized attacker to bypass a security feature over a network.

🤖 Analiza AI
Jak działa

Podatność wynika z niespójnej interpretacji żądań HTTP (CWE-444) przez komponenty ASP.NET Core. Atakujący wysyła spreparowane żądania HTTP, które są różnie parsowane przez serwer front-end i back-end, co powoduje rozbieżność w rozgraniczeniu granic poszczególnych żądań. Dzięki temu możliwe jest przemycenie dodatkowych żądań HTTP, które omijają kontrole bezpieczeństwa stosowane przez pośrednie warstwy infrastruktury (np. reverse proxy, firewalle aplikacyjne). Wektor ataku jest sieciowy, nie wymaga interakcji użytkownika, a do jego przeprowadzenia wystarczy posiadanie podstawowych uprawnień (PR:L).

Skutki

Uwierzytelniony atakujący może ominąć funkcje bezpieczeństwa aplikacji, co w kontekście HTTP request smuggling może prowadzić do nieautoryzowanego dostępu do danych, przejęcia sesji innych użytkowników lub dalszej eskalacji uprawnień. Wysoki wpływ na poufność i integralność (C:H, I:H) wskazuje na możliwość ujawnienia wrażliwych danych oraz modyfikacji zasobów aplikacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — aktualizacja powinna być wdrożona niezwłocznie ze względu na krytyczny poziom zagrożenia. Szczegółowe informacje o wersjach zawierających poprawkę dostępne są pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-55315. Do czasu wdrożenia patcha należy rozważyć restrykcyjną konfigurację warstw proxy i firewalli aplikacyjnych w celu ograniczenia możliwości przemycenia żądań.

Kogo dotyczy

Microsoft Visual Studio 2022 oraz Microsoft ASP.NET Core — dokładne wersje wskazane w referencjach producenta (MSRC).

Uwagi

Dostępna jest publiczna analiza techniczna podatności pod adresem https://andrewlock.net/understanding-the-worst-dotnet-vulnerability-request-smuggling-and-cve-2025-55315/ oraz publiczny proof-of-concept na platformie GitHub. Mimo braku wpisu w CISA KEV, dostępność publicznego PoC zwiększa ryzyko aktywnego wykorzystania tej podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L
  • Microsoft Asp.net Core

    APP
    Microsoft
    2.3.0 – 2.3.6 (bez)8.0.0 – 8.0.21 (bez)9.0.0 – 9.0.10 (bez)
  • Microsoft Visual Studio 2022

    APP
    Microsoft
    17.10.0 – 17.10.20 (bez)17.12.10 – 17.12.13 (bez)17.14.0 – 17.14.17 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-40372CRITICAL9.1PL ✓ten sam produkt

ASP.NET Core — błąd weryfikacji podpisu kryptograficznego umożliwia privilege escalation

CVE-2024-43498CRITICAL9.8PL ✓ten sam produkt

RCE w .NET i Visual Studio — krytyczna podatność umożliwiająca zdalne wykonanie kodu

CVE-2024-0057CRITICAL9.1PL ✓ten sam produkt

Podatność omijania funkcji bezpieczeństwa w .NET, .NET Framework i Visual Studio

CVE-2023-38180HIGH7.5⚠ KEVten sam produkt

.NET and Visual Studio Denial of Service Vulnerability

CVE-2026-45591HIGH7.5ten sam produkt

Uncontrolled resource consumption in ASP.NET Core allows an unauthorized attacker to deny service over a netwo...