Wiz
Database delle vulnerabilitàCVE-2025-55315

CVE-2025-55315
C# Analisi e mitigazione delle vulnerabilità

Panoramica

CVE-2025-55315 is a critical security vulnerability in ASP.NET Core that involves HTTP request/response smuggling. The vulnerability was discovered and disclosed on October 14, 2025, affecting multiple versions of ASP.NET Core, including versions 8.0.0-8.0.20, 9.0.0-9.0.9, and 10.0.0-rc2. Microsoft assigned it their highest-ever CVSS score of 9.9, indicating its severe nature (Andrew Lock Blog, NVD).

Dettagli tecnici

The vulnerability stems from inconsistent interpretation of HTTP requests, specifically in how chunk extensions in Transfer-Encoding: chunked requests are handled. The issue occurs when there's an invalid line ending in a chunk extension header, where ASP.NET Core's Kestrel server processes these requests differently than proxy servers, leading to request smuggling opportunities. The vulnerability is classified as CWE-444 (Inconsistent Interpretation of HTTP Requests) and received a CVSS v3.1 score of 9.9 (Critical) with the vector string CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L (NVD, Andrew Lock Blog).

Impatto

The vulnerability allows an authorized attacker to bypass security features over a network, potentially leading to multiple severe consequences. These include the ability to bypass CSRF checks, perform injection attacks, make internal requests (SSRF), login as different users, and exfiltrate authentication credentials or other sensitive data from client requests. The impact is particularly severe in applications that handle authentication or process sensitive user data (Andrew Lock Blog).

Mitigazione e soluzioni alternative

Microsoft has released patches for all supported versions of ASP.NET Core. Users should update to .NET 8.0.21, .NET 9.0.10, or .NET 10.0.0-rc2 or later versions. For ASP.NET Core 2.3 on .NET Framework, users should update to Microsoft.AspNetCore.Server.Kestrel.Core version 2.3.6. Applications running on Azure App Services are protected by their proxy layer, even without updates. For systems that cannot be immediately updated, using HTTP/2 or HTTP/3 protocols can provide protection as they don't support chunked transfer encoding (Andrew Lock Blog).

Risorse aggiuntive

FonteQuesto report è stato generato utilizzando l'intelligenza artificiale

Imparentato C# Vulnerabilità:

CVE ID

Severità

Punteggio

Tecnologie

Nome del componente

Exploit CISA KEV

Ha la correzione

Data di pubblicazione

CVE-2025-64113CRITICAL9.3
  • C#C#
  • MediaBrowser.Server.Core
NoDec 09, 2025
CVE-2025-66628HIGH7.5
  • C#C#
  • cpe:2.3:a:imagemagick:imagemagick
NoDec 10, 2025
CVE-2025-66631HIGH7.2
  • C#C#
  • Csla
NoDec 09, 2025
CVE-2025-66625MEDIUM4.9
  • C#C#
  • Umbraco.Cms
NoDec 09, 2025
CVE-2025-65955MEDIUM4.9
  • C#C#
  • Magick.NET-Q8-OpenMP-x64
NoDec 02, 2025

Valutazione gratuita delle vulnerabilità

Benchmark della tua posizione di sicurezza del cloud

Valuta le tue pratiche di sicurezza cloud in 9 domini di sicurezza per confrontare il tuo livello di rischio e identificare le lacune nelle tue difese.

Richiedi valutazione

Ulteriori risorse Wiz

PEACH

PEACH

Un framework di isolamento del tenant

Richiedi una demo personalizzata

Pronti a vedere Wiz in azione?

"La migliore esperienza utente che abbia mai visto offre piena visibilità ai carichi di lavoro cloud."
David EstlickCISO (CISO)
"Wiz fornisce un unico pannello di controllo per vedere cosa sta succedendo nei nostri ambienti cloud."
Adam FletcherResponsabile della sicurezza
"Sappiamo che se Wiz identifica qualcosa come critico, in realtà lo è."
Greg PoniatowskiResponsabile della gestione delle minacce e delle vulnerabilità
Richiedi una demo