Сегодня 02 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Microsoft исправила критическую уязвимость ASP.NET Core, которая позволяла красть секретные данные и ломать серверы

На этой неделе Microsoft выпустила патч для исправления критической уязвимости, которая получила отметку как «самая серьёзная за всю историю» кроссплатформенного фреймворка ASP.NET Core. Речь об уязвимости CVE-2025-55315, которая связана с перенаправлением HTTP-запросов и была выявлена в веб-сервере Kestrel для ASP.NET Core.

 Источник изображения: Bleeping Computer

Источник изображения: Bleeping Computer

Используя упомянутую уязвимость, авторизованный в системе злоумышленник мог встраивать дополнительные HTTP-запросы для перехвата чужих сессий или обхода функций безопасности. «Злоумышленник, использующий эту уязвимость, может получить доступ к конфиденциальной информации, такой как учётные данные пользователей, а также может вносить изменения в содержимое файлов на целевом сервере, что может приводить к сбоям в его работе», — говорится в сообщении Microsoft.

Пользователям разных версий платформы Microsoft рекомендует предпринять определённые действия, чтобы закрыть уязвимость. Тем, кто использует .NET 8 и более новые версии фреймворка, рекомендуется задействовать сервис Microsoft Update для загрузки патча, после чего он установится и устройство нужно будет перезагрузить. Пользователям .NET 2.3 требуется обновиться ссылку на пакет Microsoft.AspNetCore.Server.Kestrel.Core, а затем заново скомпилировать и развернуть приложение. Если же речь о самодостаточных или однофайловых приложениях, то следует установить патч, заново скомпилировать и развернуть приложение. Для устранения уязвимости Microsoft выпустила патчи для Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0, ASP.NET Core 9.0 и пакета Microsoft.AspNetCore.Server.Kestrel.Core для приложений с ASP.NET Core 2.x.

Представитель Microsoft отметил, что последствия атак через уязвимость CVE-2025-55315 зависят от архитектуры конкретного приложения. Злоумышленник может авторизоваться в системе с данными другого пользователя для повышения привилегий, осуществлять выполнение скрытых внутренних запросов и др. «Но мы не знаем, что именно может произойти, поскольку это зависит от того, как вы написали своё приложение. Поэтому мы оцениваем уязвимость исходя из наихудшего возможного сценария — обхода функций безопасности», — приводи источник слова представителя Microsoft.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
«Самое янское дополнение в истории»: геймплейный трейлер сюжетного аддона The Alters: Last Variable порадовал фанатов 55 мин.
Epic Games Store устроил раздачу классической игры I Have No Mouth, and I Must Scream о последних людях на Земле, которых пытает безумный суперкомпьютер 3 ч.
Авторитетный инсайдер опроверг закрытие Obsidian Entertainment и работу студии над новой Fallout 4 ч.
Правительство США снова взломали: хакеры проникли в федеральную платформу для обмена разведданными 4 ч.
Браузер Opera получил продвинутую защиту от ввода вредоносных команд через буфер обмена 4 ч.
ИИ оказался слишком дорогим: компании урезают сотрудникам доступ к ChatGPT и Claude 5 ч.
Студия создателя Deus Ex и System Shock перестанет делать игры — после провала Thick as Thieves в OtherSide осталось меньше десяти человек 5 ч.
Google не смогла отбиться от рекордного штрафа в €4,1 млрд в Европе 5 ч.
Кризис Xbox поставил под угрозу закрытия Obsidian — студию в ответе за Fallout: New Vegas, Pillars of Eternity и South Park: The Stick of Truth 6 ч.
Toyota собирается при помощи ИИ навести порядок в своей документации и терминологии 6 ч.
Philips анонсировала 27-дюймовые игровые мониторы Evnia M4 с тремя режимами работы: 1440p@275 Гц, 1080p@360 Гц и 720p@540 Гц 2 ч.
Anthropic ведёт переговоры с Samsung о создании собственного ИИ-чипа 3 ч.
У Tesla внезапно подскочили продажи электромобилей во втором квартале 4 ч.
Amazon запустила достаточно спутников для запуска конкурента Starlink 5 ч.
ИИ подрывает экологические цели: выбросы углекислого газа у Amazon подскочили на 16 % в 2025 году 5 ч.
«Яндекс» разрабатывает новые ИИ-устройства — «Пин», «Хронум» и другие загадочные продукты 6 ч.
Инвестиции с кешбэком: NVIDIA вкладывается в создание ИИ-инфраструктуры партнёров в обмен на доход от её эксплуатации 6 ч.
Weave представила бытового робота Isaac 1 — он будет наводить порядок, пока хозяев нету дома 6 ч.
Будущая Xbox Project Helix, вероятно, будет лишена дисковода 7 ч.
В центре Москвы открыли новый флагманский магазин Xiaomi Store 7 ч.