مایکروسافت در بهروزرسانی اخیر خود، یکی از جدیترین و بحرانیترین آسیبپذیریهای تاریخ در ASP.NET Core را برطرف کرد؛ باگی که کارشناسان امنیتی آن را دارای بیشترین امتیاز (Severity Rating) در میان تمام آسیبپذیریهای ثبتشده در این فریمورک میدانند.
جزئیات آسیبپذیری CVE-2025-55315
این آسیبپذیری با شناسه CVE-2025-55315 در وبسرور Kestrel مربوط به ASP.NET Core کشف شده است.
این باگ از نوع HTTP Request Smuggling است و به مهاجم احراز هویتشده (Authenticated Attacker) اجازه میدهد تا درخواستهای HTTP را به شکل مخفیانه درون هم قرار دهد و از این طریق به عملیات خطرناکی دست بزند؛ از جمله:
سرقت اطلاعات حساس کاربران و اعتبارنامهها (Credentials)؛
دور زدن کنترلهای امنیتی سمت فرانتاند؛
یا حتی ایجاد اختلال و کرش در سرور هدف.
مایکروسافت در هشدار امنیتی روز خود اعلام کرد:
«مهاجمی که بتواند از این آسیبپذیری سوءاستفاده کند، قادر خواهد بود به دادههای حساس کاربران دیگر دسترسی یابد (خطر در محرمانگی)، محتوای فایلهای روی سرور را تغییر دهد (خطر در یکپارچگی)، و احتمالاً باعث از کار افتادن سرور شود (خطر در دسترسپذیری).»
نسخههای آسیبپذیر و نحوه پچ کردن در ASP.NET Core
مایکروسافت به توسعهدهندگان و مدیران سیستم توصیه کرده است در اسرع وقت نسبت به بهروزرسانی نسخههای .NET خود اقدام کنند.
🔹 اگر از .NET 8 یا نسخههای بالاتر استفاده میکنید:
بهروزرسانیهای جدید را از Microsoft Update نصب کنید
سپس برنامه را ریاستارت کرده یا سیستم را ریبوت کنید.
🔹 اگر از .NET 2.3 استفاده میکنید:
پکیج Microsoft.AspNet.Server.Kestrel.Core را به نسخهی 2.3.6 ارتقا دهید
برنامه را مجدداً کامپایل (Recompile) و استقرار (Redeploy) کنید.
🔹 در مورد اپلیکیشنهای Self-contained یا Single-file نیز باید پس از نصب بهروزرسانی، فرآیند کامپایل و استقرار مجدداً انجام شود.
مایکروسافت برای رفع این باگ، آپدیتهایی را برای موارد زیر منتشر کرده است:
Microsoft Visual Studio 2022
ASP.NET Core 2.3، 8.0 و 9.0
و همچنین پکیج Kestrel.Core برای اپلیکیشنهای مبتنی بر ASP.NET Core 2.x
جزئیات فنی و اثرات احتمالی حمله
به گفتهی Barry Dorrans، مدیر برنامه فنی امنیت .NET در مایکروسافت، اثر حملات احتمالی این باگ بستگی به نحوهی پیادهسازی برنامه دارد.
او هشدار داد که مهاجم در صورت موفقیت میتواند:
بهجای کاربر دیگری وارد سیستم شود (Privilege Escalation)؛
درخواستهای داخلی ارسال کند (Server-Side Request Forgery – SSRF)؛
بررسیهای CSRF را دور بزند؛
یا حملات تزریقی (Injection Attacks) اجرا کند.
با این حال Dorrans توضیح داد:
«بعید است همهی اپلیکیشنها در معرض شدیدترین حالت حمله باشند، مگر اینکه کد اپلیکیشن بررسیهای لازم را روی درخواستها انجام ندهد. اما در هر صورت، توصیه ما ساده است: حتماً بهروزرسانی کنید.»
ارتباط با Patch Tuesday و سایر باگها
این اصلاحیه بخشی از آپدیت Patch Tuesday اکتبر ۲۰۲۵ است که شامل رفع ۱۷۲ آسیبپذیری از جمله ۸ مورد بحرانی (Critical) و ۶ باگ Zero-Day میشود.
سه مورد از این Zero-Dayها پیشتر در حملات واقعی مورد سوءاستفاده قرار گرفته بودند.
همچنین در همین هفته، مایکروسافت بهروزرسانی KB5066791 را منتشر کرد که شامل آخرین وصلههای امنیتی ویندوز ۱۰ پیش از پایان رسمی پشتیبانی آن است.
نتیجهگیری
این آسیبپذیری یکی از خطرناکترین ضعفهای امنیتی تاریخ ASP.NET Core است که میتواند به سرقت داده، تزریق درخواستها و نفوذ عمیق در زیرساختهای سازمانی منجر شود.
اگر از Kestrel استفاده میکنید، بهروزرسانی فوری سیستم و فریمورک .NET کاملاً حیاتی است.
