A Microsoft publicou na última semana um patch de segurança crítico para o ASP.NET Core, corrigindo uma vulnerabilidade classificada com o maior nível de severidade já atribuído a uma falha nesse framework. Identificada como CVE-2025-55315, a brecha afetou o servidor web Kestrel, componente fundamental do ASP.NET Core, sendo descrita como um bug de request smuggling, uma técnica que permite a manipulação e o contrabando de requisições HTTP entre camadas de rede.
Segundo o comunicado da empresa, atacantes autenticados poderiam explorar o problema para enviar requisições HTTP ocultas, abrindo caminho para roubo de credenciais de outros usuários, bypass de controles de segurança no front-end e até modificação de arquivos no servidor. Em casos extremos, o ataque poderia causar falhas ou travamentos na aplicação, afetando sua disponibilidade.
“Um invasor que explorasse com sucesso essa vulnerabilidade poderia visualizar informações sensíveis, como credenciais de outros usuários, modificar conteúdos no servidor ou causar interrupções no serviço”
Atualizações disponíveis
Para mitigar o risco, a Microsoft liberou atualizações para várias versões do framework e ferramentas relacionadas, incluindo:
- ASP.NET Core 2.3, 8.0 e 9.0;
- Visual Studio 2022;
- Pacote Microsoft.AspNetCore.Server.Kestrel.Core (para aplicativos ASP.NET Core 2.x).
A recomendação para administradores e desenvolvedores é imediata. Se estiver usando .NET 8 ou superior, instale a atualização via Microsoft Update e reinicie o servidor. Em .NET 2.3, atualize o pacote Microsoft.AspNet.Server.Kestrel.Core para a versão 2.3.6, recompile e reimplante o aplicativo. Para aplicativos self-contained (de arquivo único), também é necessário recompilar e redistribuir após aplicar o patch.
Impacto potencial e risco real
O gerente técnico de segurança da .NET, Barry Dorrans, explicou que o impacto prático da falha depende do código de cada aplicação. Em cenários específicos, ela poderia permitir elevação de privilégios, requisições internas não autorizadas (SSRF), bypass de verificações CSRF ou até injeção de comandos.
“Não sabemos o que é possível em todos os casos, depende de como o app foi escrito”, afirmou Dorrans. “Por isso, atribuimos a pontuação máxima considerando o pior cenário. Provavelmente, a exploração só é viável se o código da aplicação ignorar verificações essenciais. Mesmo assim, é fundamental atualizar.”
O conserto do CVE-2025-55315 faz parte do Patch Tuesday de outubro, que trouxe 172 correções, incluindo oito falhas críticas e seis zero-days, três delas já exploradas ativamente.
Na mesma semana, a Microsoft também publicou o KB5066791, uma atualização cumulativa que marca os últimos patches de segurança do Windows 10, agora em fim de ciclo de suporte.Fique por dentro das principais novidades da semana sobre tecnologia e Linux: receba nossa newsletter em sua caixa de entrada!