#安全资讯 微软修复 ASP.NET 核心产品中高达 9.9 分的安全漏洞，漏洞被描述为 HTTP 走私漏洞，借助漏洞攻击者可以窃取机密信息、破坏内容完整性或迫使服务器崩溃。这个漏洞影响 ASP.NET 或.NET 多种产品，开发者和用户需要安装最新更新确保漏洞无法被黑客利用。查看全文：https://ourl.co/110954

微软已确认该公司修复 ASP.NET Core 产品中评分最高的安全漏洞，该漏洞编号为 CVE-2025-55315，漏洞评分为 9.9 分 (满分 10 分)，主要影响 Kestrel ASP.NET Core Web 服务器，允许未经身份验证的攻击者在原始请求中走私二次 HTTP 请求。

据称恶意软件可以通过该漏洞帮助攻击者绕过不同级别的安全控制，例如查看并获取其他用户凭证 (机密性) 等敏感信息，更改目标服务器中的文件内容完整性，甚至迫使服务器崩溃等。

为修复这个漏洞微软向诸多不同的版本发布安全更新并要求开发者们重新编译和部署应用程序，如果不重新编译和部署应用程序则漏洞仍然有被利用的可能性，这会严重危害使用 ASP.NET Core 产品的安全性。

具体来说运行.NET 8 或更高版本的用户应当从 Windows 更新中安装.NET 更新，运行.NET 2.3 的用户需要将 Microsoft.AspNet.Server.Kestrel.Core 包引用更新到 2.3.6 版并重新编译和部署应用程序。

而运行独立 / 单文件应用程序的用户应当安装.NET 更新并重新编译和部署软件，其他产品例如 VS 2022、ASP.NET Core 2.3/8.0/9.0 等有自己的安全更新，用户和开发者们也需要更新。

.NET 安全技术项目经理称这个漏洞评分听起来很高但其实严重性不是那么高，具体取决于开发者使用该项目开发的下游软件，如果下游软件用来传输各种机密信息那危害程度就非常高了。

所以微软的做法是评估时按照最坏的情况来评估以此提醒开发者和用户及时安装更新，避免真遇到恶意软件利用漏洞绕过各种安全限制窃取机密信息。