FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

Kestrel服务器漏洞引发请求走私攻击风险

微软已修复ASP.NET Core中一个CVSS评分高达9.9的关键漏洞（CVE-2025-55315），这是该公司对该Web开发框架漏洞给出的史上最高严重性评级。该漏洞影响ASP.NET Core内置的Kestrel Web服务器组件，可能允许经过身份验证的攻击者通过HTTP请求走私绕过安全功能。

微软在安全公告中指出："ASP.NET Core对HTTP请求的不一致解析（'HTTP请求/响应走私'）使得授权攻击者能够通过网络绕过安全功能。"该漏洞影响所有当前支持的ASP.NET Core版本，包括8、9、10版，以及仅限Windows的.NET Framework上运行的旧版ASP.NET Core 2.3。

攻击者可能实施的恶意行为

该漏洞的核心在于请求走私攻击，攻击者可在一个看似合法的初始请求中隐藏恶意次级请求。微软ASP.NET Core安全项目经理Barry Dorrans在GitHub公告中表示，走私请求可能执行多种恶意操作："攻击者可利用该漏洞以其他用户身份登录、绕过跨站请求伪造检查或实施注入攻击。"

但Dorrans强调实际风险很大程度上取决于应用程序的编写和部署方式："除非应用程序代码存在异常行为，并跳过本应在每个请求中执行的检查，否则不太可能出现严重后果。"

CVSS评分引发的争议

尽管Dorrans对实际风险持谨慎态度，9.9的CVSS评分仍在开发者群体中引发广泛质疑。Dorrans在GitHub讨论中解释称，微软评分方法考虑最坏情况："仅就ASP.NET Core本身而言，评分远不会这么高。"微软基于"可能改变范围的安全功能绕过"潜力进行评分，意味着攻击可能影响最初易受攻击组件之外的部分。

当开发者询问具体易受攻击的代码模式时，Dorrans回应称："任何处理请求的操作都可能存在问题"，"执行身份验证并基于验证设置访问规则的应用程序可能面临风险"，但同时指出这些属于个人观察而非微软官方指导。

受影响范围与修复方案

该漏洞影响广泛版本的ASP.NET Core，包括10.0.0-rc.1.25451.107及更早版本、9.0.9及更早版本、8.0.20及更早版本，以及使用Microsoft.AspNetCore.Server.Kestrel.Core 2.3.0或更早版本的ASP.NET Core 2.x应用。

修复方案因部署模式而异：框架依赖部署的应用需更新服务器.NET运行时；独立部署的应用需逐个重建并重新部署。微软已为所有受支持版本发布补丁，开发者应升级至相应版本的Runtime或SDK。

现有防护措施的有效性

Dorrans指出，受反向代理或API网关保护的应用程序可能已具备足够防御："如果网关或代理能移除走私请求，应用程序即受到保护。"但直接暴露在互联网且无中介过滤的Kestrel实现仍存在风险。

微软官方更新指南表示尚未发现该漏洞在野利用。Dorrans建议企业应审慎评估特定风险："只有您能评估应用程序面临的风险"，同时推荐"最谨慎的做法是尽快打补丁"。

参考来源：

Critical ASP.NET core vulnerability earns Microsoft’s highest-ever severity score

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）