检测

Microsoft ASP.NET Core 安全功能绕过2025 年 10 月

critical Nessus 插件 ID 270707

语言:

简介

远程 Windows 主机受到安全功能绕过漏洞的影响。

描述

远程 Windows 主机上安装的 ASP.NET Core 版本为低于 8.0.x 的 8.0.21、低于 9.0.x 的 9.0.10或 10.0.0-rc.1.25451.107。因此,它受安全功能绕过漏洞的影响。
ASP.NET Core 中 http 请求的不一致解释“http 请求/响应走私”允许授权的攻击者通过网络绕过安全功能。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新 .NET Core 到版本 8.0.21、 9.0.10、10.0.0-rc.2.25502.107 或更高版本。

另见

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-55315

https://github.com/dotnet/aspnetcore/issues/64033

插件详情

严重性: Critical

ID: 270707

文件名: smb_nt_ms25_oct_aspdotnet_core.nasl

版本: 1.1

类型: local

代理: windows

发布时间: 2025/10/17

最近更新时间: 2025/10/17

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: High

分数: 8.1

CVSS v2

风险因素: High

基本分数: 8.7

矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:P

CVSS 分数来源: CVE-2025-55315

CVSS v3

风险因素: Critical

基本分数: 9.9

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L

漏洞信息

CPE: cpe:/a:microsoft:asp.net_core

必需的 KB 项: SMB/Registry/Enumerated, installed_sw/ASP .NET Core Windows

补丁发布日期: 2025/10/14

漏洞发布日期: 2025/10/14

参考资料信息

CVE: CVE-2025-55315

IAVA: 2025-A-0753