Сегодня 03 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Microsoft исправила критическую уязвимость ASP.NET Core, которая позволяла красть секретные данные и ломать серверы

На этой неделе Microsoft выпустила патч для исправления критической уязвимости, которая получила отметку как «самая серьёзная за всю историю» кроссплатформенного фреймворка ASP.NET Core. Речь об уязвимости CVE-2025-55315, которая связана с перенаправлением HTTP-запросов и была выявлена в веб-сервере Kestrel для ASP.NET Core.

 Источник изображения: Bleeping Computer

Источник изображения: Bleeping Computer

Используя упомянутую уязвимость, авторизованный в системе злоумышленник мог встраивать дополнительные HTTP-запросы для перехвата чужих сессий или обхода функций безопасности. «Злоумышленник, использующий эту уязвимость, может получить доступ к конфиденциальной информации, такой как учётные данные пользователей, а также может вносить изменения в содержимое файлов на целевом сервере, что может приводить к сбоям в его работе», — говорится в сообщении Microsoft.

Пользователям разных версий платформы Microsoft рекомендует предпринять определённые действия, чтобы закрыть уязвимость. Тем, кто использует .NET 8 и более новые версии фреймворка, рекомендуется задействовать сервис Microsoft Update для загрузки патча, после чего он установится и устройство нужно будет перезагрузить. Пользователям .NET 2.3 требуется обновиться ссылку на пакет Microsoft.AspNetCore.Server.Kestrel.Core, а затем заново скомпилировать и развернуть приложение. Если же речь о самодостаточных или однофайловых приложениях, то следует установить патч, заново скомпилировать и развернуть приложение. Для устранения уязвимости Microsoft выпустила патчи для Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0, ASP.NET Core 9.0 и пакета Microsoft.AspNetCore.Server.Kestrel.Core для приложений с ASP.NET Core 2.x.

Представитель Microsoft отметил, что последствия атак через уязвимость CVE-2025-55315 зависят от архитектуры конкретного приложения. Злоумышленник может авторизоваться в системе с данными другого пользователя для повышения привилегий, осуществлять выполнение скрытых внутренних запросов и др. «Но мы не знаем, что именно может произойти, поскольку это зависит от того, как вы написали своё приложение. Поэтому мы оцениваем уязвимость исходя из наихудшего возможного сценария — обхода функций безопасности», — приводи источник слова представителя Microsoft.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Meta без лишнего шума выпустила мобильное приложение Pocket для вайб-кодинга игр на ходу 8 мин.
Улучшения производительности, меньше вылетов и никаких телепортирующихся NPC: для ремейка «Готики» вышло обновление 1.0.3 23 мин.
Meta вложила миллиарды в ИИ, но Цукерберг признал: агенты не спешат умнеть 26 мин.
Сливший iOS 26 до анонса блогер свалил вину на своего сообщника 2 ч.
«Время — это конструкт»: научно-фантастический триллер Ontos от создателей Amnesia и Soma перенесли на 2027 год 2 ч.
Citrix анонсировала XenServer 9 — альтернативу решениям VMware 2 ч.
Американские правозащитники объявили соцсеть X серьёзной угрозой для конфиденциальности американцев 2 ч.
Relic анонсировала «захватывающую» роглайт-стратегию Company of Heroes 3: Final Stand — трейлер, дата выхода и подробности геймплея 3 ч.
Вопрос передачи доли в Anthropic властям США пока не обсуждался 7 ч.
Microsoft разрабатывала ИИ ОС, отличную от Windows — с глубокой интеграцией Copilot и агентов 13 ч.
Sony уже придумала новое применение заводу, где делают диски для PlayStation 30 мин.
Самым популярным смартфоном в российской рознице в этом году стал iPhone 17 41 мин.
США разрешат сверхзвуковым авиалайнерам летать над городами, но при одном условии 2 ч.
Учёные вдохновились пустельгой и разработают дрон, противостоящий порывам ветра 2 ч.
2 июля начали принимать работы для участия в фотоконкурсе «Снято на Camon» компании Tecno 2 ч.
Квартальные продажи Ethernet-коммутаторов взлетели на 40 %, а NVIDIA выбилась в лидеры в ЦОД-сегменте 3 ч.
Илон Маск признался, что объёмы выпуска роботов Tesla Optimus на первых порах будут скромными 5 ч.
Kioxia начала поставлять образцы передовой 332-слойной памяти 3D NAND десятого поколения 5 ч.
Новая статья: Снято в Голливуде? Почему Стэнли Кубрик физически не смог бы подделать лунную походку 10 ч.
В Сингапуре обвинили четыре фирмы в контрабанде подсанкционных чипов NVIDIA в Китай 11 ч.