Begin deze week heeft Microsoft een kwetsbaarheid opgelost die de hoogste ernstscore ooit heeft gekregen voor een beveiligingsfout in ASP.NET Core.

Deze HTTP-verzoeksmokkelingsfout (CVE-2025-55315) werd ontdekt in de Kestrel ASP.NET Core-webserver. Hierdoor kunnen aanvallers die zich hebben aangemeld, via een ander HTTP-verzoek de inloggegevens van andere gebruikers stelen of de beveiligingsmaatregelen van de front-end omzeilen.

“Een aanvaller die deze kwetsbaarheid met succes zou misbruiken, kan gevoelige informatie bekijken, zoals de inloggegevens van andere gebruikers (Vertrouwelijkheid), wijzigingen aanbrengen in bestandsinhoud op de doelserver (Integriteit) en mogelijk een crash van de server forceren (Beschikbaarheid),” zei Microsoft in een advies op dinsdag.

Om ervoor te zorgen dat hun ASP.NET Core-toepassingen beveiligd zijn tegen potentiële aanvallen, adviseert Microsoft ontwikkelaars en gebruikers om de volgende stappen te ondernemen:

• Voor .NET 8 of later: installeer de .NET-update via Microsoft Update, herstart de applicatie of reboot de computer.
• Voor .NET 2.3: werk het pakketverwijzing voor Microsoft.AspNet.Server.Kestrel.Core bij naar 2.3.6, compileer de applicatie opnieuw en implementeer deze opnieuw.
• Voor zelfstandige/single-file toepassingen: installeer de .NET-update, compileer opnieuw en implementeer opnieuw.

Om de kwetsbaarheid aan te pakken, heeft Microsoft beveiligingsupdates uitgebracht voor Microsoft Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0, en ASP.NET Core 9.0, evenals het Microsoft.AspNetCore.Server.Kestrel.Core-pakket voor ASP.NET Core 2.x-apps.

Zoals Barry Dorrans, .NET beveiligingstechnisch programmamanager, uitlegde, is de impact van CVE-2025-55315 aanvallen afhankelijk van de doelgerichte ASP.NET toepassing. Succesvol misbruik kan dreigingsactoren toestaan om in te loggen als een andere gebruiker (voor privilege-escalatie), een interne aanvraag te doen (in server-side request forgery-aanvallen), CSRF-controles te omzeilen of injectieaanvallen uit te voeren.

“Maar we weten niet wat mogelijk is omdat dit afhangt van hoe je app is geschreven. Daarom scoren we met het ergst mogelijke geval in gedachten, een beveiligingsfunctie omzeiling die de scope verandert.” zei Dorrans.

“Is dat waarschijnlijk? Nee, waarschijnlijk niet, tenzij je applicatiecode iets vreemds doet en een aantal controles overslaat die het op elke aanvraag zou moeten uitvoeren. Maar update alsjeblieft.”

Tijdens de Patch Tuesday van deze maand heeft Microsoft beveiligingsupdates uitgebracht voor 172 kwetsbaarheden, waaronder acht “Kritieke” kwetsbaarheden en zes zero-day bugs (waarvan er drie in aanvallen zijn misbruikt).

Deze week publiceerde Microsoft ook KB5066791, een cumulatieve update met de laatste Windows 10-beveiligingsupdates nu het besturingssysteem het einde van zijn ondersteuningslevenscyclus bereikt.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.