マイクロソフトの10月のパッチチューズデーアップデートで、ASP.NET CoreオープンソースWeb開発フレームワークの重大な脆弱性が修正されました。
CVE-2025-55315として追跡されているこの脆弱性は、CVSSスコアが9.9であり、.NETセキュリティプログラムマネージャーのBarry Dorransは「過去最高」と述べています。
この問題は、ネットワーク上でセキュリティ機能を回避するために使用される可能性のあるHTTPリクエストスマグリングのバグとして説明されています。これは、ASP.NET Coreの組み込みWebサーバーであるKestrelで発見されました。
本質的に、このセキュリティ欠陥により、攻撃者は1つのHTTPリクエスト内に別のリクエストを隠すことで、様々なアプリケーションの挙動を引き起こすことができます。
「この脆弱性を悪用した攻撃者は、別のHTTPリクエストを密輸し、フロントエンドのセキュリティ制御を回避したり、他のユーザーの認証情報を乗っ取ったりする可能性があります」とマイクロソフトは説明しています。
この大手テクノロジー企業によると、この脆弱性はユーザー認証情報などの機密情報の漏洩、ファイル内容の改ざん、またはサーバー内でクラッシュを引き起こすことでサービス拒否(DoS)状態を発生させるために悪用される可能性があります。
「このケースでは、脆弱なコンポーネントと影響を受けるコンポーネントは異なり、それぞれ異なるセキュリティ権限によって管理されています」とマイクロソフトは指摘しています。
Dorransによると、この問題はASP.NET Coreで特定されましたが、実際の影響はアプリケーションの構築方法によって異なります。
攻撃者は、この脆弱性を悪用して他のユーザーとしてログインしたり、内部リクエストを行ったり、CSRFチェックを回避したり、インジェクション攻撃を実行したりできるとDorransは説明しています。
リクエストに関わるアクションを実行するソフトウェアは問題を引き起こす可能性があり、ログへの追加のみを行い認証を処理しないアプリケーションはログエントリを見逃すことがあり、特定のルールに基づいて認証を行うアプリケーションは権限昇格の標的となる可能性があります。
「したがって、最悪の場合を想定してスコアを付けています。セキュリティ機能のバイパスによるスコープの変更です。これは起こりやすいでしょうか?おそらく、アプリケーションコードが奇妙なことをしていて、本来すべきリクエストごとのチェックを多数スキップしていない限り、可能性は低いでしょう」とDorransは述べています。
マイクロソフトは、Microsoft Visual Studio 2022バージョン17.14、17.12、17.10、およびASP.NET Coreバージョン2.3、8.0、9.0、10.0 RC1向けにアップデートを提供し、この脆弱性に対応しました。また、バグ修正を含むMicrosoft.AspNetCore.Server.Kestrel.Coreバージョン2.3.6もリリースしています。
