Microsoftは、セキュリティプログラムマネージャーのBarry Dorransが「過去最高」と述べたCVSSスコア9.9のASP.NET Coreの脆弱性にパッチを適用しました。この欠陥はKestrelウェブサーバーコンポーネントにあり、セキュリティバイパスを可能にします。
この問題はリクエストスマグリングと呼ばれ、1つのリクエストの中に別のリクエストを隠すことができ、最初のリクエストには認証が不要でも、隠されたリクエストには通常認証が必要な場合も含まれます。
Dorransは説明で、隠されたリクエストが別のユーザーとしてログインしたり、クロスサイトリクエストフォージェリーチェックを回避したり、インジェクション攻撃を行うなどの行動が可能だと述べました。リスクはアプリケーションの書き方に依存し、「アプリケーションコードが何かおかしなことをして、各リクエストで本来行うべきチェックを多数スキップしていない限り、悪影響が生じる可能性は高くない」としています。
CVE-2025-55315の高いCVSS評価は混乱を招いています。ASP.NET Core単体で見れば、Dorransは「そこまで高くはならない」と述べていますが、Microsoftは最悪のケース、すなわち「スコープを変更するセキュリティ機能のバイパス」で評価しています。
Dorransに対して、どのようなアプリケーションコードが脆弱となるのかを尋ねた開発者には、はっきりしない回答がなされました。「リクエストに対して何かを行うものは問題になる可能性がある」とし、「認証を行い、その認証に基づいてアクセスルールを持つアプリは脆弱となる可能性がある」と述べました。これは公式見解ではなく個人的な意見だと付け加えています。
KestrelはASP.NET Coreの組み込みウェブサーバーであり、リバースプロキシの背後や、より直接的に公開されて広く利用されています。ゲートウェイやプロキシが隠されたリクエストを除去する場合、アプリケーションは保護されるとDorransは述べています。
慎重な対応としては、できるだけ早くパッチを適用することですが、「リスク評価はあなた自身が行うしかない」と助言しています。
この脆弱性は長期間存在していたようで、ASP.NET Coreのサポートされているすべてのバージョン、8、9、10のプレリリース、さらにWindows専用の.NET Framework上で動作するASP.NET Core 2.3にも影響します。開発者は.NET SDKの最新版をダウンロードするか、NuGetパッケージマネージャー経由でKestrel.Coreパッケージ(2.3.6)の最新版に更新することでパッチを適用できます。
複雑なのは、多くのアプリケーションがフレームワーク依存モデルでデプロイされており、サーバー上の.NET環境に依存している点です。この場合、更新が必要なのはアプリケーションではなくサーバーです。この依存関係は、ランタイムファイルを含む自己完結型デプロイメントを使用することで回避できますが、その場合は各アプリケーションごとに更新が必要になります。
Microsoftの公式レポートによると、この脆弱性が悪用されたという情報は現時点でありません。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/16/microsoft_aspnet_core_vulnerability/
