及时更新：微软修复有史以来最严重ASP.NET Core漏洞！

10月19日，微软近日发布了一项关键安全更新，修复了asp.net core中一个被评定为“史上最高危”的严重漏洞。

该漏洞编号为CVE-2025-55315，存在于Kestrel ASP.NET Core Web服务器组件中，属于高风险的HTTP请求走私（HTTP request smuggling）类型。

攻击者若成功利用此漏洞，可将恶意请求隐藏在合法流量中，进而绕过安全机制或对其他用户发起攻击。

根据微软发布的安全通告，该漏洞可能导致以下影响：

机密性受损：可能泄露其他用户的敏感数据，如登录凭证。

完整性破坏：攻击者可在未经授权的情况下篡改服务器上的文件内容。

可用性威胁：可能导致服务中断或系统崩溃。

.NET安全技术主管Barry Dorrans表示，实际危害程度取决于具体部署的ASP.NET应用程序。潜在攻击场景包括：以他人身份登录（权限提升）、发起服务器端请求伪造（SSRF）、绕过跨站请求伪造（CSRF）防护机制，以及执行代码注入等。

尽管最严重的攻击情形可能不适用于所有环境，但微软仍基于最坏情况对该漏洞进行评级，并强烈建议所有开发者和系统管理员立即应用补丁。

目前，微软已为多个受影响版本推出修复程序，涵盖Microsoft Visual Studio 2022、ASP.NET Core 2.3、ASP.NET Core 8.0及ASP.NET Core 9.0等。

微软建议采取如下应对措施：

对于使用.NET 8及以上版本的用户：通过Microsoft Update获取并安装最新.NET更新，随后重启相关应用或主机系统。

针对.NET 2.3用户：需将Microsoft.AspNet.Server.Kestrel.Core包升级至2.3.6版本，重新编译项目并重新部署。

对于独立部署或单文件发布模式的应用程序：应先安装对应的.NET运行时更新，再重新编译和部署应用。