A Microsoft lançou esta semana uma correção para uma vulnerabilidade no ASP.NET Core que recebeu a classificação de severidade "mais alta de sempre" para uma falha de segurança nesta plataforma. O problema, identificado como CVE-2025-55315, afeta o servidor web Kestrel e pode abrir a porta a ataques perigosos.
Esta falha de segurança, do tipo HTTP request smuggling, permite que um atacante autenticado consiga injetar um segundo pedido HTTP para intercetar as credenciais de outros utilizadores ou contornar controlos de segurança front-end. No seu aviso de segurança, a Microsoft detalha que um atacante bem-sucedido pode visualizar informação sensível, alterar ficheiros no servidor alvo e até provocar uma falha total do serviço.
O que permite esta vulnerabilidade?
De acordo com Barry Dorrans, gestor do programa técnico de segurança do .NET, o impacto real de um ciberataque que explore a falha CVE-2025-55315 depende da aplicação ASP.NET visada. No entanto, os piores cenários incluem:
Escalada de privilégios: Fazer login como outro utilizador com mais permissões.
Ataques Server-Side Request Forgery (SSRF): Realizar pedidos internos a partir do servidor comprometido.
Contornar verificações de segurança: Ignorar proteções como o Cross-Site Request Forgery (CSRF).
Ataques de injeção: Injetar código malicioso no sistema.
Apesar de a Microsoft considerar que o pior cenário é pouco provável, a recomendação é clara: atualizar o mais rapidamente possível.
Como proteger as suas aplicações?
Para garantir que as aplicações ASP.NET Core estão protegidas, a Microsoft aconselha os developers e utilizadores a tomar as seguintes medidas:
Para quem usa .NET 8 ou superior: Instalar a atualização do .NET a partir do Microsoft Update e reiniciar a aplicação ou o computador.
Para quem usa .NET 2.3: Atualizar a referência do pacote
Microsoft.AspNet.Server.Kestrel.Corepara a versão 2.3.6, recompilar e reimplantar a aplicação.Para aplicações self-contained/single-file: Instalar a atualização do .NET, recompilar e reimplantar.
As atualizações de segurança já foram lançadas para o Microsoft Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0, ASP.NET Core 9.0 e o respetivo pacote Microsoft.AspNetCore.Server.Kestrel.Core.
Esta correção fez parte do mais recente Patch Tuesday, no qual a Microsoft corrigiu um total de 172 falhas, incluindo oito classificadas como "Críticas" e seis vulnerabilidades "zero-day". Esta semana ficou também marcada pelo lançamento da KB5066791, a última atualização de segurança de sempre para o Windows 10, que chega agora ao fim do seu ciclo de vida.
Nenhum comentário
Seja o primeiro!