Systemstandard
Ljus
Mörk
Författare
David Lindin @ Asurgent
Read time
5 min
28 oktober 2025
En ny sårbarhet i ASP.NET Core har klassificerats som en av Microsofts allvarligaste i oktober 2025. Med ett CVSS-betyg på 9.9 kräver CVE‑2025‑55315 omedelbara åtgärder från alla organisationer som använder ASP.NET Core i sin verksamhet.
CVE‑2025‑55315 är en HTTP request smuggling-sårbarhet som påverkar webbservern Kestrel i ASP.NET Core. Sårbarheten uppstår när Kestrel, eller mellanliggande komponenter som proxies och load balancers, tolkar HTTP-headers på olika sätt. Det gäller särskilt Transfer-Encoding och Content-Length, som tillsammans kan utnyttjas för att dölja skadliga HTTP-förfrågningar.
Viktigt att notera är att Microsoft beskriver sårbarheten som möjlig att utnyttja av en "authorized attacker", vilket innebär att angriparen måste vara autentiserad för att kunna genomföra attacken.1 Genom HTTP request smuggling kan en autentiserad angripare sedan kringgå säkerhetskontroller för att få privilegierad åtkomst, logga in som andra användare, komma åt skyddade API-endpoints, eller exfiltrera data.2 Microsoft klassificerar detta som en security feature bypass som kan utnyttjas över nätverket.3
| Komponent | Sårbar upp till |
| ASP.NET Core 8.0 | ≤ 8.0.20 |
| ASP.NET Core 9.0 | ≤ 9.0.9 |
| ASP.NET Core 10.0 | ≤ 10.0.0-rc.1.25451.107 |
| Microsoft.AspNetCore.Server.Kestrel.Core | ≤ 2.3.0 |
Källa: Microsoft Security Response Center (MSRC) och Microsoft GitHub Advisory dotnet/aspnetcore#64033
ASP.NET Core används i många moderna IT-miljöer, både i molnet och on-premise. Sårbarheten påverkar miljöer som kör Kestrel direkt, särskilt när den exponeras mot internet.
Microsoft använder en CVSS-bedömning som utgår från det värsta tänkbara scenariot. I CVSS-terminologi betyder "changes scope" att sårbarheten kan påverka resurser utanför det ursprungliga säkerhetsgränssnittet, till exempel genom att en attack mot en komponent kan ge åtkomst till andra komponenter eller användarsessioner. Detta reflekteras i den höga CVSS-poängen på 9.9.4
CVE‑2025‑55315 fick en CVSS-poäng på 9.9 (Critical) i Microsofts oktober 2025 Patch Tuesday-uppdatering. Microsoft har bedömt sårbarheten som allvarlig med hänsyn till den potentiella påverkan på konfidentialitet, integritet och tillgänglighet i ASP.NET Core-applikationer.56
Hur din applikation är uppbyggd har stor betydelse för risken. Att ha en reverse proxy framför Kestrel minskar risken, medan direkt exponering mot internet ökar den. Även robust session- och autentiseringshantering kan mildra effekten. Observera att sårbarheten kräver att angriparen först har giltiga användaruppgifter, vilket innebär att starka autentiseringsmekanismer och begränsad åtkomst är viktiga försvarslager.
| Åtgärd | Beskrivning |
| Inventera miljön | Identifiera alla system som kör ASP.NET Core och använder Kestrel. |
| Patcha omedelbart | Uppgradera till ASP.NET Core 8.0.21 eller senare, 9.0.10 eller senare, eller 10.0.0-rc.2 eller senare. Uppdatera Kestrel.Core till minst version 2.3.6. Self-contained appar måste byggas om. |
| Bygg om och deploya | Framework-dependent appar kräver uppgradering av runtime på servern. Docker-images baserade på sårbara base images måste rebuilds och redeployas. |
| Begränsa exponering | Säkerställ att system bakom proxies eller load balancers hanterar headers korrekt och inte vidarebefordrar skadliga mönster. |
| Aktivera loggning | Övervaka för ovanliga kombinationer av HTTP-headers, särskilt förfrågningar med både Transfer-Encoding och Content-Length. |
| Riskbedömning | Kontrollera hur din applikation hanterar autentisering, sessionshantering och nätverksgränser. Prioritera system där externa användare har autentiserad åtkomst. |
| Hantera osupporterat | Migrera bort från .NET 6 och äldre versioner. De får inte längre säkerhetsuppdateringar från Microsoft och förblir sårbara. |
Sårbarheten ligger i själva Kestrel-paketet, inte hela .NET-runtime. Det betyder att även om du använder en supporterad .NET-version, kan ditt projekt vara sårbart om det refererar till en äldre version av Microsoft.AspNetCore.Server.Kestrel.Core.7
| Miljö | Risk |
| .NET 6 + Kestrel.Core 2.3.0 | ❌ Sårbar |
| .NET 7 + Kestrel.Core 2.3.0 | ❌ Sårbar |
| .NET 6 + Kestrel.Core 2.3.6 | ✅ Säker |
| .NET 8 + Kestrel 8.0.21 | ✅ Säker |
Kör dotnet list package eller granska .csproj-filerna för att kontrollera versionsnumren.
Många organisationer kör fortfarande .NET 6, eller tidigare, trots att den nådde end-of-life i november 2024. Dessa miljöer identifieras ofta inte i moderna skanningsverktyg eftersom de inte längre omfattas av leverantörernas patch-policy.
Kritiskt att notera är att Microsoft inte utfärdar några säkerhetspatchar för .NET 6 eller tidigare versioner.8 Om du kör .NET 6, .NET 5 eller .NET Core 3.1 bör du betrakta dessa som hög risk eftersom de förblir sårbara för CVE-2025-55315. HeroDevs beskriver att sårbarheten är reproducerbar på .NET 6 och att dessa system förblir exponerade för de risker som CVE-2025-55315 medför.9 Migrering till supporterade versioner eller segmentering bör ske omgående.
Azure Application Gateway WAF kan mildra riskerna med CVE-2025-55315 genom att terminera HTTP-trafik korrekt och blockera skadliga headers.
WAF i prevention mode med OWASP Core Rules aktiverat är en bra start. Du bör konfigurera WAF att blockera requests där både Content-Length och Transfer-Encoding förekommer samtidigt, samt övervaka för ovanliga mönster i hur dessa headers kombineras.
Konfigurationen bör inkludera regler som normaliserar HTTP-request parsing och avvisar tvetydiga header-kombinationer innan de når Kestrel. Konsultera Azures dokumentation för WAF-konfiguration eller överväg att implementera en normaliserande reverse proxy framför Kestrel-instanser.
Applikationer från tredjepartsleverantörer kan ha inbyggda beroenden till sårbara Kestrel-versioner. Detta gäller särskilt självhostade verktyg, adminportaler och REST-baserade API:er.
Kontakta alla leverantörer och be om:
Bekräftelse på om deras lösningar använder Kestrel
Vilken version de använder
När en patch är tillgänglig
Inventera även lokalt installerade appar i CMDB och använd verktyg som dotnet --info eller Endpoint Detection-lösningar för att identifiera .NET-processer.
Om du använder containerbaserade deployments är det viktigt att notera att sårbarheten kan finnas i base images. Docker-images baserade på sårbara ASP.NET Core base images måste byggas om med uppdaterade base images som innehåller patchen. Detta gäller även om din applikationskod inte har förändrats. Säkerställ att din CI/CD-pipeline rebuilder och deployer alla containeriserade .NET-applikationer med de senaste base images från Microsoft.
CVE‑2025‑55315 är en sårbarhet som förtjänar högsta prioritet. Även om den kräver autentisering för att utnyttjas, är riskbilden betydande för organisationer med externa användare. Risken sträcker sig över kod, infrastruktur, containerbaserade miljöer och tredjepartsberoenden. Genom att kombinera patchning, inventering, säker arkitektur och WAF-skydd kan du minska risken avsevärt.
För organisationer som kör EOL-versioner av .NET är risken särskilt hög eftersom Microsoft inte längre utfärdar patchar för dessa versioner.
Microsoft - "Microsoft Security Advisory CVE-2025-55315: .NET Security Feature Bypass Vulnerability", GitHub dotnet/aspnetcore#64033, 14 oktober 2025. Tillgänglig: https://github.com/dotnet/aspnetcore/issues/64033 (1, 3, 4, 5, 7)
HeroDevs - "Reproducing CVE-2025-55315, the CVSS 9.9 CVE in ASP.NET", oktober 2025. Tillgänglig: https://www.herodevs.com/blog-posts/reproducing-cve-2025-55315-the-cvss-9-9-cve-in-asp-net (2, 6, 8, 9)
Prenumerera på vårt nyhetsbrev för att ha koll på senaste nytt inom cybersäkerhetssfären.
