- CVE-2025-55315はASP.NET CoreにおけるHTTPリクエストスマグリングを許可(深刻度9.9/10)
- QNAPはNetBak PC Agentユーザーに影響を受けるASP.NET Coreコンポーネントのパッチ適用を強く推奨
- アップデートは再インストールまたは手動での.NET 8.0ランタイムインストールで可能
QNAPは、重大なASP.NET Coreの脆弱性に対してパッチを適用し、NetBak PC Agentのインストールを保護するよう顧客に警告しています。
セキュリティアドバイザリで、NASデバイスメーカーは、Microsoftが最近、ASP.NET Coreに影響するバグを公表し、「攻撃者がHTTPリクエストスマグリングを通じてセキュリティ制御を回避できる可能性がある」と述べました。
QNAPが言及しているのは「HTTPリクエストスマグリングバグ」であり、CVE-2025-55315として追跡されている脆弱性で、深刻度スコアは9.9/10(クリティカル)です。これはKestrel ASP.NET Coreウェブサーバーに影響し、認証されていない攻撃者が元のリクエスト内に二次的なHTTPリクエストを「密輸」できるようにします。これは同社のASP.NET Core製品における「過去最高レベル」の脆弱性と説明されています。
2つのパッチ適用方法
「もし悪用された場合、認証済みの攻撃者が特別に細工したHTTPリクエストをウェブサーバーに送信することで、機密データへの不正アクセス、サーバーファイルの改ざん、あるいは限定的なサービス拒否状態を引き起こす可能性があります」とQNAPは説明しています。
同社はさらに、NetBak PC Agentはインストール時にMicrosoft ASP.NET Coreコンポーネントを導入・依存しているため、この問題の影響を受ける可能性があると述べています。
「QNAPは、ユーザーがWindowsシステムに最新のMicrosoft ASP.NET Coreアップデートがインストールされていることを強く推奨します」とアドバイザリに記載されています。
ASP.NET Coreのアップデート方法は2つあるとQNAPは説明しています。1つ目はNetBak PC Agentを再インストールする方法(既存のソリューションをアンインストールし、最新バージョンをダウンロード・インストール)、2つ目はASP.NET Coreを手動でアップデートする方法です。これは.NET 8.0のダウンロードページにアクセスし、最新のASP.NET Coreランタイム(Hosting Bundle)をダウンロード・インストールすることで行えます。
「2025年10月時点での最新バージョンは8.0.21です」と同社は確認しています。最後のステップは、アプリケーションまたはシステム全体を再起動することです。
Microsoftはまた、Microsoft Visual Studio 2022、ASP.NET Core 2.3、ASP.NET Core 8.0、ASP.NET Core 9.0、およびASP.NET Core 2.xアプリ向けのMicrosoft.AspNetCore.Server.Kestrel.Coreパッケージにもセキュリティアップデートをリリースしています。
GoogleニュースでTechRadarをフォロー および 優先ソースとして追加 して、専門家によるニュース、レビュー、意見をフィードで受け取りましょう。フォローボタンをクリックするのをお忘れなく!
もちろん、TikTokでTechRadarをフォロー して、ニュース、レビュー、開封動画などを動画でチェックしたり、WhatsAppでも定期的に最新情報を受け取れます。
