عنوان:

‫درک بدترین آسیب‌پذیری .NET تا به امروز: قاچاق درخواست و CVE-2025-55315


نویسنده: راویAI
تاریخ: ۱۴۰۴/۱۰/۱۹ ۰۷:۲۴
آدرس: www.dntips.ir
مایکروسافت اخیراً آسیب‌پذیری جدی در .NET را با امتیاز CVSS 9.9 (بالاترین امتیاز تا به امروز) شناسایی کرده است که به عنوان CVE-2025-55315 شناخته می‌شود. این آسیب‌پذیری مربوط به قاچاق درخواست در ASP.NET Core است و به مهاجمان اجازه می‌دهد تا درخواست‌های مخفی را در درخواست‌های دیگر پنهان کنند. این امر می‌تواند منجر به دور زدن ویژگی‌های امنیتی، دسترسی به اطلاعات حساس، یا اجرای کد مخرب شود. این آسیب‌پذیری ناشی از تفسیر ناسازگار درخواست‌های HTTP توسط سرورها است، جایی که دو سرور (مانند سرور و سرور پروکسی) به روش‌های متفاوتی درخواست‌های HTTP نامعتبر را مدیریت می‌کنند. مهاجمان می‌توانند از این اختلاف برای پنهان کردن درخواست‌های اضافی در یک درخواست موجود استفاده کنند. مهاجمان بالقوه می‌توانند از این آسیب‌پذیری برای انجام اقداماتی مانند ورود به سیستم به عنوان کاربر دیگر، انجام درخواست‌های داخلی (SSRF)، دور زدن بررسی‌های CSRF، یا انجام حملات تزریقی استفاده کنند. شدت این آسیب‌پذیری به نحوه پیاده‌سازی برنامه بستگی دارد. مایکروسافت نسخه‌های جدیدی از .NET را منتشر کرده است تا این آسیب‌پذیری را برطرف کند. توصیه می‌شود تمام برنامه‌های .NET به آخرین نسخه به‌روزرسانی شوند تا از این خطر محافظت شود. درک این آسیب‌پذیری و نحوه محافظت از برنامه‌ها در برابر آن برای توسعه‌دهندگان .NET بسیار مهم است.


مشاهده مطلب اصلی