Plus tôt cette semaine, Microsoft a corrigé une vulnérabilité qui a été signalée avec la cote de gravité » la plus élevée jamais reçue » par un ASP.NET Faille de sécurité principale.
Ce bogue de contrebande de requêtes HTTP (CVE-2025-55315) a été trouvé dans le Crécerelle ASP.NET Serveur Web principal, et il permet aux attaquants authentifiés de passer en contrebande une autre requête HTTP pour détourner les informations d’identification d’autres utilisateurs ou contourner les contrôles de sécurité frontaux.
« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait afficher des informations sensibles telles que les informations d’identification d’autres utilisateurs (Confidentialité) et apporter des modifications au contenu des fichiers sur le serveur cible (Intégrité), et il pourrait être en mesure de forcer un plantage sur le serveur (Disponibilité) », Microsoft a déclaré mardi dans un avis.
Pour s’assurer que leur ASP.NET Les applications principales sont sécurisées contre les attaques potentielles, Microsoft conseille aux développeurs et aux utilisateurs de prendre les mesures suivantes:
- Si vous exécutez. NET 8 ou une version ultérieure, installez la mise à jour. NET à partir de Microsoft Update, puis redémarrez votre application ou redémarrez la machine.
- Si vous exécutez. NET 2.3, mettez à jour la référence du package pour Microsoft.Réseau.Serveur.Crécerelle.Noyau vers 2.3.6, puis recompilez l’application et redéployez.
- Si vous exécutez une application autonome / à fichier unique, installez la mise à jour. NET, recompilez et redéployez.
Pour remédier à la vulnérabilité, Microsoft a publié des mises à jour de sécurité pour Microsoft Visual Studio 2022, ASP.NET Noyau 2.3, ASP.NET Noyau 8.0, et ASP.NET Noyau 9.0, ainsi que le Microsoft.Un noyau dur.Serveur.Crécerelle.Paquet de base pour ASP.NET Noyau 2.x applications.
Comme l’a expliqué Barry Dorrans, responsable du programme technique de sécurité. NET, l’impact des attaques CVE-2025-55315 dépendrait de la cible ASP.NET l’exploitation de l’application et susccestive pourrait permettre aux acteurs de la menace de se connecter en tant qu’utilisateur différent (pour l’élévation des privilèges), de faire une requête interne (dans les attaques de falsification de requêtes côté serveur), de contourner les vérifications de falsification de requêtes intersites (CSRF) ou d’effectuer des attaques par injection.
« Mais nous ne savons pas ce qui est possible car cela dépend de la façon dont vous avez écrit votre application. Ainsi, nous marquons avec le pire des cas possible à l’esprit, un contournement de la fonction de sécurité qui change la portée », a déclaré Dorrans.
« Est-ce probable? Non, probablement pas à moins que votre code d’application fasse quelque chose d’étrange et ignore un tas de vérifications qu’il devrait effectuer à chaque demande. Cependant, veuillez mettre à jour. »
Au cours du Patch Tuesday de ce mois-ci, Microsoft a publié des mises à jour de sécurité pour 172 failles, dont huit vulnérabilités « critiques » et six bogues zero-day (dont trois ont été exploités dans des attaques).
Cette semaine, Microsoft a également publié KB5066791, une mise à jour cumulative qui inclut les dernières mises à jour de sécurité de Windows 10 lorsque le système d’exploitation atteint la fin de son cycle de vie de support.