微軟在10月例行更新(Patch Tuesday)當中,修補ASP.NET Core風險值接近滿分的資安漏洞CVE-2025-55315,取得低權限的攻擊者有機會藉由HTTP請求走私(Smuggling)手法觸發,CVSS評分達到9.9,相當危險,現在有網路儲存設備業者警告,他們旗下的應用程式也受到這項弱點影響,呼籲用戶儘速採取行動。
10月24日臺灣NAS廠商威聯通(QNAP)發布資安公告,由於公用程式NetBak PC Agent須搭配ASP.NET Core元件才能運作,受到CVE-2025-55315的影響,若NetBak PC Agent用戶未更新該元件,有可能會面臨CVE-2025-55315帶來的資安風險,因此,他們呼籲用戶儘速處理。這支威聯通提供的代理程式,主要用途是讓用戶將Windows電腦或伺服器的資料備份到NAS設備。
威聯通指出用戶可透過兩種方式更新ASP.NET Core,一種是直接從微軟下載10月14日發布的8.0.21版進行升級;另一種是將NetBak PC Agent解除安裝,藉由重新安裝NetBak PC Agent的流程,一併升級ASP.NET Core。
CVE-2025-55315涉及HTTP請求或回應的走私,攻擊者可傳送惡意的HTTP請求觸發,一旦成功利用,就有機會檢視敏感資訊,例如:其他使用者的身分驗證資料、竄改伺服器檔案內容,或是導致伺服器當機。微軟.NET資安技術經理Barry Dorrans指出,這是史上最高分的ASP.NET漏洞,有可能被用於權限提升、伺服器請求偽造、繞過跨網站請求偽造(CSRF)的檢查機制,或是注入攻擊。
熱門新聞
2025-12-12
2025-12-15
2025-12-15
2025-12-15
2025-12-15
2025-12-15
2025-12-15