- CVE-2025-55315 El servidor web Kestrel de ASP.NET Core permite el secuestro de solicitudes HTTP
- Los atacantes pueden eludir los controles, acceder a las credenciales, modificar archivos o bloquear el servidor.
- Microsoft lanzó actualizaciones para las versiones afectadas de .NET y Visual Studio para mitigar la falla
Microsoft confirmó recientemente que ha parcheado la vulnerabilidad “más común” que afecta a su producto ASP.NET Core.
Descrito como un “error de secuestro de solicitudes HTTP”, la vulnerabilidad se rastrea como CVE-2025-55315 y se le asigna una puntuación de gravedad de 9,9/10 (crítica).
Esto afecta al servidor web Kestrel ASP.NET Core y permite a atacantes no autenticados “contrabandear” solicitudes HTTP secundarias a la solicitud original.
Cómo actualizar
Los contrabandistas pueden ayudar a los atacantes a eludir varios controles de seguridad; Está explicado.
“Un atacante que explotara con éxito esta vulnerabilidad podría ver información confidencial, como las credenciales de otros usuarios (Privacidad) y realizar cambios en el contenido de los archivos en el servidor de destino (Integridad), y podría bloquear el servidor (Disponibilidad)”, explicó Microsoft en su aviso de seguridad.
Dependiendo de las versiones que esté ejecutando, existen diferentes formas de proteger su infraestructura de posibles ataques.
Aquellos que ejecutan .NET 8 o posterior deben instalar la actualización de .NET desde Microsoft Update, mientras que aquellos que ejecutan .NET 2.3 deben actualizar la referencia del paquete para Microsoft.AspNet.Server.Kestrel.Core a 2.3.6, luego recompilar e implementar la aplicación. Aquellos que ejecutan una aplicación autónoma o de un solo archivo deben instalar, recompilar y volver a implementar la actualización de .NET.
Microsoft ha publicado actualizaciones de seguridad para el paquete Microsoft.AspNetCore.Server.Kestrel.Core para Microsoft Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0 y ASP.NET Core 9.0, así como para aplicaciones ASP.NET Core 2.x.
En GitHub, el director del programa técnico de seguridad de .NET, Barry Dorrance, dijo que la puntuación del error “no sería tan alta”, pero las puntuaciones se basan en cómo podría afectar a las aplicaciones creadas sobre ASP.NET, por lo que todo se reduce a cada aplicación individual:
“No sabemos qué es posible porque depende de cómo se escribe la aplicación”, dijo. “Por lo tanto, puntuamos teniendo en mente el peor de los casos posibles, evitando una característica de seguridad que cambia el alcance”.
a través de Registro
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
