- CVE-2025-55315 Permite el secuestro de solicitudes HTTP en ASP.NET Core (Severidad 9.9/10)
- QNAP NetBak PC Agent insta a los usuarios a parchear los componentes principales de ASP.NET afectados
- Las actualizaciones están disponibles mediante reinstalación o instalación manual del tiempo de ejecución de .NET 8.0.
QNAP advierte a sus clientes que parcheen una vulnerabilidad crítica de ASP.NET Core y así protejan sus instalaciones de NetBak PC Agent.
En un aviso de seguridad, el fabricante del dispositivo NAS dijo que Microsoft reveló recientemente un error que afecta a ASP.NET Core y que “podría permitir a un atacante eludir los controles de seguridad falsificando solicitudes HTTP”.
A lo que QNAP se refiere es a un “error de contrabando de solicitudes HTTP”, una vulnerabilidad rastreada como CVE-2025-55315, con una puntuación de gravedad de 9,9/10 (crítica). Afectó al servidor web Kestrel ASP.NET Core y permitió a atacantes no autenticados “contrabandear” solicitudes HTTP secundarias a la solicitud original, y fue descrita como la vulnerabilidad “más alta” que afecta a su producto ASP.NET Core.
Dos métodos de parcheo
“Si se explota con éxito, un atacante autenticado puede enviar solicitudes HTTP especialmente diseñadas al servidor web, lo que resulta en acceso no autorizado a datos confidenciales, modificación de archivos del servidor o condiciones de denegación de servicio”, explicó QNAP.
La compañía también dijo que debido a que NetBak PC Agent depende de los componentes de Microsoft ASP.NET Core durante la instalación y configuración, pueden verse afectados por este problema.
“QNAP recomienda encarecidamente que los usuarios se aseguren de tener instalada la última actualización de Microsoft ASP.NET Core en sus sistemas Windows”, se lee en el aviso.
Hay dos métodos para actualizar ASP.NET Core, explica QNAP con más detalle. La primera es reinstalar NetBak PC Agent (primero desinstalando la solución existente y luego descargando e instalando la última versión), la segunda es actualizar ASP.NET Core manualmente. Esto se puede hacer visitando la página de descarga de .NET 8.0 y luego descargando e instalando la última versión de ASP.NET Core Runtime (paquete de alojamiento).
“A octubre de 2025, la última versión es la 8.0.21”, confirmó la empresa. El último paso es reiniciar la aplicación o todo el sistema.
Microsoft ha publicado actualizaciones de seguridad para el paquete Microsoft.AspNetCore.Server.Kestrel.Core para Microsoft Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0 y ASP.NET Core 9.0, así como para aplicaciones ASP.NET Core 2.x.
a través de Computadora pitando
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
