如果您构建或运行任何基于 ASP.NET Core 的内容,都需要仔细阅读本文。一个严重漏洞(CVE-2025–55315,CVSS 9.9)刚刚披露,它影响了几乎全部版本的 Kestrel——即支撑您的 API、Blazor 应用和后端服务的 Web 服务器。
这不是夸大其词——这是一个罕见的、将性能、架构和安全性交织在一起的问题。让我们来分析发生了什么、为什么重要,以及如何在它影响您的系统之前进行修复。
⚠️ 漏洞概览
💥 漏洞是什么
Kestrel(ASP.NET Core 的内置 Web 服务器)中的一个 HTTP 请求走私 缺陷。
🧠 攻击原理
当一个 HTTP 请求同时包含 Content-Length 和 Transfer-Encoding: chunked 头时,Kestrel 可能错误解析请求的边界。攻击者可以通过代理或负载均衡器,将一个隐藏的第二个请求 直接走私进入 Kestrel。
这个第二个请求可能:
- 🕵️ 劫持其他用户的已认证会话
- 🌐 访问本不应公开的内部接口 CSD0tFqvECLokhw9aBeRqsXv+nIM7C0mAme35Xpl7WzpxGQnKRpyrHcKIbYDWoyaAZ3Bry38T2lmTbWXHm7B2hvSPoSMlIOqKOuBAtR7dPklcij9peRU5ocEwQuG846qCVBRG0XZrTknwW6//88i4Q6kSAlG45FHKR+yvq26QVo=
