Microsoft corrige falha de maior gravidade do ASP.NET Core de todos os tempos – Against Invaders – Notícias de CyberSecurity para humanos.

Relatório Picus Blue 2025

No início desta semana, a Microsoft corrigiu uma vulnerabilidade que foi sinalizada com a classificação de gravidade “mais alta de todos os tempos” recebida por uma falha de segurança do ASP.NET Core.

Esse bug de contrabando de solicitação HTTP (CVE-2025-55315) foi encontrado no servidor web Kestrel ASP.NET Core e permite que invasores autenticados contrabandeiem outra solicitação HTTP para sequestrar as credenciais de outros usuários ou ignorar os controles de segurança front-end.

“Um invasor que explorou com sucesso essa vulnerabilidade pode visualizar informações confidenciais, como credenciais de outros usuários (confidencialidade) e fazer alterações no conteúdo do arquivo no servidor de destino (integridade), e pode forçar uma falha no servidor (disponibilidade)”, disse a Microsoft em um Aviso de terça-feira.

Para garantir que seus aplicativos ASP.NET Core estejam protegidos contra possíveis ataques, a Microsoft aconselha desenvolvedores e usuários a tomar as seguintes medidas:

  • Se estiver executando o .NET 8 ou posterior, instale a atualização do .NET do Microsoft Update e reinicie o aplicativo ou reinicialize o computador.
  • Se estiver executando o .NET 2.3, atualize a referência do pacote para Microsoft.AspNet.Server.Kestrel.Core para 2.3.6, recompile o aplicativo e reimplante.
  • Se estiver executando um aplicativo independente/de arquivo único, instale a atualização do .NET, recompile e reimplante.

Para resolver a vulnerabilidade, a Microsoft lançou atualizações de segurança para Microsoft Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0 e ASP.NET Core 9.0, bem como o pacote Microsoft.AspNetCore.Server.Kestrel.Core para aplicativos ASP.NET Core 2.x.

Como explicou o gerente de programa técnico de segurança do .NET, Barry Dorrans, o impacto dos ataques CVE-2025-55315 dependeria do aplicativo ASP.NET direcionado, e a exploração suspeita poderia permitir que os agentes da ameaça fizessem login como um usuário diferente (para escalonamento de privilégios), fizessem uma solicitação interna (em ataques de falsificação de solicitação do lado do servidor), ignorassem verificações de falsificação de solicitação entre sites (CSRF) ou executassem ataques de injeção.

“Mas não sabemos o que é possível porque depende de como você escreveu seu aplicativo. Assim, pontuamos com o pior caso possível em mente, um desvio de recurso de segurança que muda o escopo”,Dorrans disse.

“Isso é provável? Não, provavelmente não, a menos que o código do seu aplicativo esteja fazendo algo estranho e pule um monte de verificações que deveria estar fazendo em todas as solicitações. No entanto, por favor, atualize.”

Durante o Patch Tuesday deste mês, a Microsoft Atualizações de segurança lançadas para 172 falhas, incluindo oito vulnerabilidades “críticas” e seis bugs de dia zero (três dos quais foram explorados em ataques).

Esta semana, a Microsoft também publicou KB5066791, uma atualização cumulativa que inclui as atualizações de segurança finais do Windows 10 à medida que o sistema operacional chega ao fim de seu ciclo de vida de suporte.


Relatório Picus Blue 2025

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.