嚴重等級 9.9 的 ASP.NET Core 資安漏洞 CVE-2025-55315

微軟在 10/14 發佈了一則資安漏洞公告 CVE-2025-55315，其 CVSS (Common Vulnerability Scoring System) 漏洞嚴重等級直上 9.9、危險等級也高達 8.6。

起源是 ASP.NET Core 從 2.3 到 .NET 10 的 Kestrel 都存在一個安全漏洞，由於 Kestrel 對 HTTP Request Header 的檢查邏輯不夠周全，攻擊者有可能透過特殊設計的 HTTP 請求資料，由看似正常的請求挾帶惡意請求繞過安全檢查成功闖關。(這種手法又稱為 HTTP Request/Response Smuggling 走私)

一旦闖關成功，視應用程式的設計方式不同，攻擊者有機會略過權限管控、取得使用者登入憑證、竊取機密資料、竄改檔案內容、形成 DoS 攻擊... 等，雖然成功前題與系統設計有關，而這些對應到 CVSS 評分的機密性(C)、完整性(I)、可用性(A)，考量最壞的狀況，都可視為高風險，讓嚴重度升高到 9.9。

【資安科普】CVSS 的嚴重性 Critical 分數通常對應一個最直接、最容易被利用的攻擊情境，一個 9.9 分的漏洞通常具備以下特徵：

• 攻擊向量 (AV): 網路 (Network) - 駭客可以從遠端透過網路發動攻擊。
• 攻擊複雜度 (AC): 低 (Low) - 不需要複雜的條件或技術即可成功利用。
• 所需權限 (PR): 無 (None) - 駭客不需要任何權限就能攻擊。
• 使用者互動 (UI): 無 (None) - 不需要使用者執行任何動作。
• 範疇 (S): 已變更 (Changed) - 漏洞的影響會超越原本的軟體元件，可能影響到整個作業系統。
• 機密性 (C)、完整性 (I)、可用性 (A) 影響: 皆為高 (High) - 能讓駭客竊取所有資料、竄改任何檔案，並讓系統完全癱瘓。

考慮最壞的狀況，攻擊者可以不需要密碼、不需要使用者點擊任何東西，就能從網際網路連上有漏洞的 ASP.NET Core Ketrel，偷資料改檔案並癱瘓整台伺服器，符合 9.9 標準。

(但依據 Microsoft 安全專家 Kevin Dorrans 的說法：給這個漏洞打最高分，是基於「最壞情況」的假設。這個最壞情況就是：攻擊者不僅能繞過安全機制，還能影響到系統的其他部分。但說實話，這種最壞情況發生的機率很低，除非你的程式碼夠低級，省掉原本該有的基本安全檢查。參考)

至於修補方式，依 ASP.NET Core 版本不同，做法不同。

• 若為 .NET 8 或更新版本，請從 Microsoft Update 安裝 .NET 更新，然後重新啟動應用程式或重新啟動電腦即可。
• 若為 ASP.NET Core 2.3，則必須更新 Microsoft.AspNet.Server.Kestrel.Core 套件到 2.3.6，然後重新編譯您的應用程式並重新部署。
• 若程式被編譯為獨立/單一檔案應用程式(--self-contained)，則必須更新 .NET 版本、重新編譯應用程式並重新部署。

如何檢查目前的 .NET 版本是否安全？最簡單的做法是執行 dotnet --info，檢查 Microsoft.AspNetCore.App 的版本：

或是更簡潔的做法，用 dotnet --list-runtimes 只查 Runtime：(感謝讀者 Ike 分享)

(註：若是用 Docker 跑 ASP.NET Core，理論上重新編譯 Image 就會從 mcr.microsoft.com/dotnet/aspnet:X.0 抓最新版本，不放心的話可用 docker exec -it <container-name> /bin/bash 登入，再用 dotnet --info 檢查。延伸閱讀：Docker 排查偵錯常用 CLI 指令整理)

依 ASP.NET Core 版本，版本需升級到 2.3.6、8.0.21、9.0.10 以上。Visual Studio 2022 的部分，需更新到 17.10.20、17.12.13、17.14.17 以上。參考

CVE-2025-53315 affects ASP.NET Core Kestrel, allowing severe remote attacks; update .NET and related components to secure your system.