A principios de esta semana, Microsoft parchó una vulnerabilidad que fue marcada con la calificación de gravedad «más alta jamás recibida» por una falla de seguridad de ASP.NET Core.
Este error de contrabando de solicitudes HTTP (CVE-2025-55315) se encontró en el servidor web Kestrel ASP.NET Core y permite a atacantes autenticados contrabandear otra solicitud HTTP para secuestrar las credenciales de otros usuarios o eludir los controles de seguridad de front-end.
«Un atacante que explotara con éxito esta vulnerabilidad podría ver información confidencial, como las credenciales de otros usuarios (Confidencialidad) y realizar cambios en el contenido del archivo en el servidor de destino (Integridad), y podría forzar una falla dentro del servidor (Disponibilidad)», dijo Microsoft en un aviso del martes.
Para garantizar que sus aplicaciones ASP.NET Core estén protegidas contra posibles ataques, Microsoft recomienda a los desarrolladores y usuarios que tomen las siguientes medidas:
- Si ejecuta .NET 8 o posterior, instale la actualización de .NET desde Microsoft Update, luego reinicie su aplicación o reinicie la máquina.
- Si ejecuta .NET 2.3, actualice la referencia del paquete para Microsoft.AspNet.Server.Kestrel.Core a 2.3.6, luego vuelva a compilar la aplicación y vuelva a implementarla.
- Si ejecuta una aplicación independiente o de un solo archivo, instale la actualización de .NET, vuelva a compilarla y volver a implementarla.
Para abordar la vulnerabilidad, Microsoft ha publicado actualizaciones de seguridad para Microsoft Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0 y ASP.NET Core 9.0, así como el paquete Microsoft.AspNetCore.Server.Kestrel.Core para aplicaciones ASP.NET Core 2.x.
Como explicó el director del programa técnico de seguridad de .NET, Barry Dorrans, el impacto de los ataques CVE-2025-55315 dependería de la aplicación ASP.NET objetivo, y una explotación exitosa podría permitir a los actores de la amenaza iniciar sesión como un usuario diferente (para escalada de privilegios), realizar una solicitud interna (en ataques de falsificación de solicitudes del lado del servidor), eludir las comprobaciones de falsificación de solicitudes entre sitios (CSRF) o realizar ataques de inyección.
«Pero no sabemos qué es posible porque depende de cómo haya escrito su aplicación. Por lo tanto, calificamos con el peor de los casos posibles en mente, una función de seguridad que cambia el alcance». Dorrans dijo.
«¿Es eso probable? No, probablemente no, a menos que el código de su aplicación esté haciendo algo extraño y se salte un montón de comprobaciones que debería realizarse en cada solicitud. Sin embargo, actualice».
Durante el martes de parches de este mes, Microsoft lanzó actualizaciones de seguridad para 172 fallasincluidas ocho vulnerabilidades «críticas» y seis errores de día cero (tres de los cuales fueron explotados en ataques).
Esta semana, Microsoft también publicó KB5066791, una actualización acumulativa que incluye las últimas actualizaciones de seguridad de Windows 10 a medida que el sistema operativo llega al final de su ciclo de vida de soporte.
El 46% de los entornos tenían contraseñas descifradas, casi el doble que el 25% del año pasado.
Obtenga ahora el Informe Picus Blue 2025 para obtener una visión completa de más hallazgos sobre tendencias de prevención, detección y filtración de datos.
