A Microsoft anunciou a correção de uma vulnerabilidade crítica no ASP.NET Core, catalogada como CVE-2025-55315, com pontuação CVSS 9,9, considerada a mais alta já registrada para o produto, segundo Barry Dorrans, gerente de programa de segurança.
A falha ocorre no servidor web Kestrel e envolve um problema conhecido como contrabando de solicitações (request smuggling), que permite ocultar uma solicitação HTTP dentro de outra. Isso pode possibilitar que hackers bypassem autenticação, contornem verificações de CSRF ou realizem ataques de injeção, dependendo de como o aplicativo foi codificado.
Dorrans esclareceu que, embora o risco real para a maioria dos aplicativos possa não ser tão elevado, a pontuação CVSS reflete o pior cenário possível, em que recursos de segurança podem ser contornados completamente.
O Kestrel é amplamente usado, tanto diretamente quanto por trás de proxies reversos. Se um gateway ou proxy remover solicitações contrabandeadas, a aplicação estará protegida. Ainda assim, a recomendação é que os desenvolvedores apliquem o patch de segurança imediatamente.
A vulnerabilidade afeta todas as versões suportadas do ASP.NET Core, incluindo 8, 9 e pré-lançamento 10, além do ASP.NET Core 2.3, que roda no .NET Framework exclusivo para Windows.
Para corrigir o problema, os desenvolvedores podem:
-
Atualizar para a versão mais recente do .NET SDK;
-
Ou atualizar o pacote Kestrel.Core para a versão 2.3.6 via NuGet.
Aplicativos implantados no modelo dependente de framework exigem que o ambiente .NET no servidor seja atualizado, não apenas o aplicativo, enquanto implantações autocontidas incluem os arquivos de tempo de execução e precisam ser refeitas para incorporar a correção.
Até o momento, a Microsoft não identificou exploração ativa desta vulnerabilidade por hackers.
