Microsoft выпустила патч для устранения критической уязвимости в кроссплатформенном фреймворке ASP.NET Core. Ошибка CVE-2025-55315 была обнаружена в веб-сервере Kestrel и получила оценку как самая серьёзная за всю историю платформы.
Проблема позволяла авторизованным пользователям внедрять дополнительные HTTP-запросы, перехватывать сессии и обходить механизмы защиты. По данным Microsoft, злоумышленник мог получить доступ к конфиденциальной информации, включая учётные данные, а также вносить изменения в файлы на сервере.
Компания рекомендовала пользователям установить обновления как можно скорее. Для .NET 8 и новее патч доступен через Microsoft Update. Пользователям старых версий, таких как .NET 2.3, необходимо обновить пакет Microsoft.AspNetCore.Server.Kestrel.Core, затем заново скомпилировать и развернуть приложение.
Обновления выпущены для Visual Studio 2022, ASP.NET Core 2.3, 8.0, 9.0 и пакета Kestrel Core для приложений на ASP.NET Core 2.x. Представители компании отметили, что последствия уязвимости зависят от архитектуры конкретного приложения, поэтому её оценили как максимально опасную.
