- 綜合
接近滿分!微軟修復(fù)評分達(dá)9.9分關(guān)鍵漏洞
時(shí)間:2010-12-5 17:23:32 作者:熱點(diǎn) 來源:探索 查看: 評論:0內(nèi)容摘要:11月18日消息,微軟近日發(fā)布安全公告,緊急修補(bǔ)了ASP.NET Core中的一個(gè)關(guān)鍵漏洞,該漏洞CVE-2025-55315)CVSS評分達(dá)到9.9分滿分10分),成為微軟漏洞庫中評分最高的漏洞。該11月18日消息,接近微軟近日發(fā)布安全公告,滿分緊急修補(bǔ)了ASP.NET Core中的微軟一個(gè)關(guān)鍵漏洞,該漏洞(CVE-2025-55315)CVSS評分達(dá)到9.9分(滿分10分),修復(fù)成為微軟漏洞庫中評分最高的評分漏洞。
該漏洞存在于ASP.NET Core 10.0、達(dá)分9.0、關(guān)鍵8.0版本以及Kestrel包的漏洞2.x版本中,它允許具備一定權(quán)限的接近攻擊者,通過利用HTTP請求和響應(yīng)的滿分不一致解析,來繞過一項(xiàng)重要的微軟網(wǎng)絡(luò)安全特性。
微軟明確指出,修復(fù)對于HTTP 請求/響應(yīng)走私(HTTP Request/Response Smuggling)場景,評分當(dāng)前并沒有現(xiàn)成的達(dá)分措施可以緩解。
HTTP請求走私是關(guān)鍵一種常見的攻擊方式,利用服務(wù)器和代理解析HTTP請求頭字段(如Content-Length或Transfer-Encoding)時(shí)的差異,將一個(gè)惡意請求隱藏在另一個(gè)合法請求中。
微軟.NET安全技術(shù)產(chǎn)品經(jīng)理巴里·多蘭斯(Barry Dorrans)解釋了該漏洞獲得高分的原因:
“這個(gè)漏洞使得HTTP請求走私成為可能。我們是根據(jù)這個(gè)漏洞對基于ASP.NET Core構(gòu)建的應(yīng)用程序可能產(chǎn)生的影響來評分的,而不是單獨(dú)評估漏洞本身。”
根據(jù)應(yīng)用程序處理請求的方式,若未及時(shí)修復(fù),該漏洞可能導(dǎo)致權(quán)限提升、服務(wù)器端請求偽造、跨站請求偽造、繞過輸入驗(yàn)證的注入攻擊等。
微軟強(qiáng)烈建議開發(fā)人員立即采取行動(dòng),升級到官方列出的修復(fù)版本,開發(fā)人員必須安裝ASP.NET Core 8、9或10運(yùn)行時(shí)/SDK的補(bǔ)丁版本,或?qū)icrosoft.AspNetCore.Server.Kestrel.Core更新到2.3.6或更高版本。
對于缺乏官方支持的.NET 6,可能需要依賴第三方發(fā)布的版本來解決該漏洞。
- 最近更新
-
-
2025-11-21 09:58:02NASA公布彗星3I/ATLAS最新圖像
-
2025-11-21 09:58:02國家禁毒辦:提醒相關(guān)企業(yè)和個(gè)人防范制毒物品和非列管可制毒化學(xué)品及設(shè)備流失
-
2025-11-21 09:58:0213歲小孩姐打破塵封13年的亞洲紀(jì)錄 網(wǎng)友紛紛點(diǎn)贊祝賀
-
2025-11-21 09:58:02解鎖智慧生活新姿勢!花粉們用百搭負(fù)一屏玩出專屬感
-
2025-11-21 09:58:02AMD下代銳龍AI 9 HX 470突然現(xiàn)身:12核24線程、最高5.25GHz
-
2025-11-21 09:58:02什么信號 軟銀意外清倉英偉達(dá) 套現(xiàn)逾400億
-
2025-11-21 09:58:02你認(rèn)可嗎!英國威廉王子:不準(zhǔn)孩子用手機(jī) 網(wǎng)上很多都是沒用的東西
-
2025-11-21 09:58:02從7元漲到40元 奶皮子一天一個(gè)價(jià)
-
- 熱門排行
-
-
2025-11-21 09:58:02谷神星一號遙十九運(yùn)載火箭發(fā)射失利原因確認(rèn):已通過歸零評審
-
2025-11-21 09:58:02為啥坐車頭暈想吐 余承東支招:盡量往外看 往遠(yuǎn)處看
-
2025-11-21 09:58:02跳票了!明年沒有iPhone Air 2
-
2025-11-21 09:58:02(粵港澳全運(yùn)會(huì))奧運(yùn)冠軍轉(zhuǎn)型教師 基層代表話“村超”活力:體育人在廣州共話初心與使命
-
2025-11-21 09:58:02全球首創(chuàng)!漂浮式動(dòng)力定位養(yǎng)殖平臺“湛江灣1號”交付
-
2025-11-21 09:58:02為啥坐車頭暈想吐 余承東支招:盡量往外看 往遠(yuǎn)處看
-
2025-11-21 09:58:02全國首家人形機(jī)器人7S店在武漢落地 機(jī)器人敲鼓跳舞慶開業(yè)
-
2025-11-21 09:58:02雙11你買的食品安全嗎 抽檢結(jié)果公布:紅薯粉條等摻雜摻假
-