Wiz
Datenbank der SchwachstelleCVE-2025-55315

CVE-2025-55315
C# Schwachstellenanalyse und -minderung

Überblick

CVE-2025-55315 is a critical security vulnerability in ASP.NET Core that involves HTTP request/response smuggling. The vulnerability was discovered and disclosed on October 14, 2025, affecting multiple versions of ASP.NET Core, including versions 8.0.0-8.0.20, 9.0.0-9.0.9, and 10.0.0-rc2. Microsoft assigned it their highest-ever CVSS score of 9.9, indicating its severe nature (Andrew Lock Blog, NVD).

Technische Details

The vulnerability stems from inconsistent interpretation of HTTP requests, specifically in how chunk extensions in Transfer-Encoding: chunked requests are handled. The issue occurs when there's an invalid line ending in a chunk extension header, where ASP.NET Core's Kestrel server processes these requests differently than proxy servers, leading to request smuggling opportunities. The vulnerability is classified as CWE-444 (Inconsistent Interpretation of HTTP Requests) and received a CVSS v3.1 score of 9.9 (Critical) with the vector string CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L (NVD, Andrew Lock Blog).

Aufprall

The vulnerability allows an authorized attacker to bypass security features over a network, potentially leading to multiple severe consequences. These include the ability to bypass CSRF checks, perform injection attacks, make internal requests (SSRF), login as different users, and exfiltrate authentication credentials or other sensitive data from client requests. The impact is particularly severe in applications that handle authentication or process sensitive user data (Andrew Lock Blog).

Risikominderung und Problemumgehungen

Microsoft has released patches for all supported versions of ASP.NET Core. Users should update to .NET 8.0.21, .NET 9.0.10, or .NET 10.0.0-rc2 or later versions. For ASP.NET Core 2.3 on .NET Framework, users should update to Microsoft.AspNetCore.Server.Kestrel.Core version 2.3.6. Applications running on Azure App Services are protected by their proxy layer, even without updates. For systems that cannot be immediately updated, using HTTP/2 or HTTP/3 protocols can provide protection as they don't support chunked transfer encoding (Andrew Lock Blog).

Zusätzliche Ressourcen

QuelleDieser Bericht wurde mithilfe von KI erstellt

Verwandt C# Schwachstellen:

CVE-Kennung

Strenge

Punktzahl

Technologieen

Name der Komponente

CISA KEV-Exploit

Hat fix

Veröffentlichungsdatum

CVE-2025-64095CRITICAL9.8
  • C#C#
  • cpe:2.3:a:dotnetnuke:dotnetnuke
NeinJaOct 28, 2025
CVE-2025-64113CRITICAL9.3
  • C#C#
  • MediaBrowser.Server.Core
NeinJaDec 08, 2025
CVE-2025-66631HIGH7.2
  • C#C#
  • Csla
NeinJaDec 09, 2025
CVE-2025-66625MEDIUM4.9
  • C#C#
  • Umbraco.Cms
NeinJaDec 09, 2025
CVE-2025-65955MEDIUM4.9
  • C#C#
  • Magick.NET-Q16-HDRI-arm64
NeinJaDec 02, 2025

Kostenlose Schwachstellenbewertung

Benchmarking Ihrer Cloud-Sicherheitslage

Bewerten Sie Ihre Cloud-Sicherheitspraktiken in 9 Sicherheitsbereichen, um Ihr Risikoniveau zu bewerten und Lücken in Ihren Abwehrmaßnahmen zu identifizieren.

Bewertung anfordern

Zusätzliche Wiz-Ressourcen

Cloud Vulnerability DB

Cloud Vulnerability DB

Eine von der Community geführte Datenbank für Schwachstellen

PEACH

PEACH

Ein Framework zur Mandantenisolation

Eine personalisierte Demo anfordern

Sind Sie bereit, Wiz in Aktion zu sehen?

"Die beste Benutzererfahrung, die ich je gesehen habe, bietet vollständige Transparenz für Cloud-Workloads."
David EstlickCISO
"„Wiz bietet eine zentrale Oberfläche, um zu sehen, was in unseren Cloud-Umgebungen vor sich geht.“ "
Adam FletcherSicherheitsbeauftragter
"„Wir wissen, dass, wenn Wiz etwas als kritisch identifiziert, es auch tatsächlich ist.“"
Greg PoniatowskiLeiter Bedrohungs- und Schwachstellenmanagement
Demo anfordern