- CVE-2025-55315は、ASP.NET CoreのKestrelウェブサーバーにおいてHTTPリクエストスマグリングを可能にします
- 攻撃者は制御を回避し、認証情報へアクセス、ファイルの改ざん、またはサーバーをクラッシュさせることができます
- Microsoftは、この脆弱性を緩和するため、影響を受ける.NETおよびVisual Studioのバージョン向けにアップデートをリリースしました
Microsoftは、最近ASP.NET Core製品に影響を与えていた「これまでで最も高い」脆弱性を修正したことを確認しました。
この脆弱性は「HTTPリクエストスマグリングバグ」として説明されており、CVE-2025-55315として追跡されています。深刻度スコアは9.9/10(クリティカル)と評価されています。
この脆弱性はKestrel ASP.NET Coreウェブサーバーに影響し、認証されていない攻撃者が元のリクエスト内に二次的なHTTPリクエストを「密輸」することを可能にします。
アップデート方法
密輸されたリクエストは、攻撃者がさまざまなセキュリティ制御を回避するのに役立つ可能性があると説明されています。
「この脆弱性を悪用することに成功した攻撃者は、他のユーザーの認証情報(機密性)などの機密情報を閲覧したり、ターゲットサーバー上のファイル内容を変更したり(完全性)、サーバーをクラッシュさせることができる可能性があります(可用性)」とMicrosoftはセキュリティアドバイザリで説明しています。
使用しているバージョンによって、潜在的な攻撃からインフラを保護する方法は異なります。
.NET 8以降を使用している場合は、Microsoft Updateから.NETアップデートをインストールしてください。.NET 2.3を使用している場合は、Microsoft.AspNet.Server.Kestrel.Coreのパッケージ参照を2.3.6に更新し、アプリケーションを再コンパイルして再デプロイしてください。自己完結型/単一ファイルアプリケーションを実行している場合は、.NETアップデートをインストールし、再コンパイルして再デプロイしてください。
Microsoftはまた、Microsoft Visual Studio 2022、ASP.NET Core 2.3、ASP.NET Core 8.0、ASP.NET Core 9.0、およびASP.NET Core 2.xアプリ向けのMicrosoft.AspNetCore.Server.Kestrel.Coreパッケージのセキュリティアップデートもリリースしています。
GitHub上で、.NETセキュリティ技術プログラムマネージャーのBarry Dorrans氏は、このバグのスコアは「実際にはそこまで高くはならないだろう」と述べていますが、スコアはASP.NET上に構築されたアプリケーションへの影響の可能性に基づいているため、実際には各アプリごとに異なるとしています:
「何が可能かは、あなたがどのようにアプリを書いたかに依存するため、私たちには分かりません」と彼は述べています。「したがって、最悪のケースを想定してスコアを付けています。これはセキュリティ機能のバイパスであり、スコープを変更します。」
