接近满分！微软修复评分达9.9分关键漏洞

微软近日发布安全公告，紧急修补了ASP.NET Core中的一个关键漏洞，该漏洞（CVE-2025-55315）CVSS评分达到9.9分（满分10分），成为微软漏洞库中评分最高的漏洞。

该漏洞存在于ASP.NET Core 10.0、9.0、8.0版本以及Kestrel包的2.x版本中，它允许具备一定权限的攻击者，通过利用HTTP请求和响应的不一致解析，来绕过一项重要的网络安全特性。

微软明确指出，对于HTTP 请求/响应走私（HTTP Request/Response Smuggling）场景，当前并没有现成的措施可以缓解。

HTTP请求走私是一种常见的攻击方式，利用服务器和代理解析HTTP请求头字段（如Content-Length或Transfer-Encoding）时的差异，将一个恶意请求隐藏在另一个合法请求中。

微软.NET安全技术产品经理巴里·多兰斯（Barry Dorrans）解释了该漏洞获得高分的原因：

“这个漏洞使得HTTP请求走私成为可能。我们是根据这个漏洞对基于ASP.NET Core构建的应用程序可能产生的影响来评分的，而不是单独评估漏洞本身。”

根据应用程序处理请求的方式，若未及时修复，该漏洞可能导致权限提升、服务器端请求伪造、跨站请求伪造、绕过输入验证的注入攻击等。

微软强烈建议开发人员立即采取行动，升级到官方列出的修复版本，开发人员必须安装ASP.NET Core 8、9或10运行时/SDK的补丁版本，或将Microsoft.AspNetCore.Server.Kestrel.Core更新到2.3.6或更高版本。

对于缺乏官方支持的.NET 6，可能需要依赖第三方发布的版本来解决该漏洞。