“史上最严重” ASP.NET 漏洞波及威联通，官方敦促其 NAS 用户尽快更新

科技媒体 bleepingcomputer 昨日（10 月 27 日）发布博文，报道称威联通（QNAP）发布紧急警告，其 Windows 备份工具 NetBak PC Agent 受一个关键的 ASP.NET Core 漏洞（CVE-2025-55315）影响，并敦促用户立即采取措施进行修补。

援引博文介绍，该漏洞的编号为 CVE-2025-55315，是一个存在于 Kestrel ASP.NET Core Web 服务器中的安全绕过漏洞。

威联通解释称，由于 NetBak PC Agent 在安装时会捆绑并依赖 ASP.NET Core 组件，因此未及时更新 Windows 系统的用户设备可能正暴露于风险之中。

利用此漏洞，低权限攻击者可发起“HTTP 请求走私”攻击，其潜在后果十分严重，包括劫持其他用户凭据、绕过前端安全控制等。据微软安全技术项目经理透露，该漏洞被评为 ASP.NET Core 历史上严重等级“有史以来最高”的漏洞。

威联通进一步补充，一旦攻击者成功利用该漏洞，便能以其他用户身份登录（实现权限提升）、绕过跨站请求伪造（CSRF）保护、执行注入攻击。更严重的是，攻击者甚至可能未经授权访问敏感数据、修改服务器文件或导致有限的拒绝服务，直接威胁个人和企业的数据安全。

威联通强烈建议用户尽快确保其 Windows 系统已安装最新的微软 ASP.NET Core 更新。官方提供了两种修复方案：

• 一是彻底重新安装 NetBak PC Agent 应用，以自动获取更新后的组件；

• 二是访问微软 .NET 8.0 官网，手动下载并安装最新的 ASP.NET Core 运行时（Hosting Bundle）。