Microsoft hat eine schwerwiegende Sicherheitsanfälligkeit in ASP.NET Core offengelegt, die eine Umgehung zentraler Sicherheitsmechanismen ermöglicht. Die Schwachstelle (CVE-2025-55315) wird mit einem CVSS-Score von bis zu 9.9 bewertet und betrifft mehrere Versionen von ASP.NET Core sowie Visual Studio 2022. Ursache ist ein HTTP Request Smuggling-Fehler (CWE-444), der durch inkonsistente Interpretation von HTTP-Anfragen entsteht.
Ein authentifizierter Angreifer kann speziell präparierte HTTP-Anfragen einschleusen, um Authentifizierungs- oder Autorisierungsprüfungen zu umgehen, Anmeldeinformationen anderer Nutzer zu übernehmen oder interne Serveranfragen (SSRF) auszulösen.
Microsoft stuft die Ausnutzung derzeit als „weniger wahrscheinlich“ ein, rät aber dringend zur Installation der bereitgestellten Sicherheitsupdates.
Betroffene Versionen:
- ASP.NET Core 2.3 – Update auf 2.3.6
- ASP.NET Core 8.0 – Update auf 8.0.21
- ASP.NET Core 9.0 – Update auf 9.0.10
- Visual Studio 2022 – Updates für Versionen 17.10, 17.12 und 17.14
Das Update ist über Microsoft Update oder das .NET Download Center verfügbar. Nach der Installation ist ein Neustart der Anwendung oder des Systems erforderlich, um den Schutz zu aktivieren.
