CVE-2025-55315: Microsoft warnt vor ASP.NET-Sicherheitslücke

Microsoft hat am 14. Oktober 2025 ein Sicherheitsupdate für CVE-2025-55315 veröffentlicht. Die Lücke in ASP.NET Core ermöglicht HTTP-Request-Smuggling und hat einen CVSS-Score von 9,9, der die Dringlichkeit einer Behebung unterstreicht. Betroffen sind Anwendungen, bei denen Anfragen so verarbeitet werden, dass Sicherheitsfunktionen wie Authentifizierung und Autorisierung umgangen werden könnten.

Was ist HTTP-Request-Smuggling?

Bei HTTP-Request-Smuggling werden Inkonsistenzen zwischen Proxys und Servern ausgenutzt, um eine Anfrage in eine andere einzuschleusen. Angreifer könnten so Sicherheitsprüfungen umgehen, etwa durch das Einfügen einer versteckten Anfrage wie GET /admin.

Details zu CVE-2025-55315

Die Schwachstelle liegt im Kestrel-Webserver von ASP.NET Core. Unter bestimmten Bedingungen validiert er Anfragegrenzen nicht korrekt, sodass geschmuggelte Anfragen den Anwendungscode erreichen können.

Wer ist gefährdet?

Nicht jede App ist betroffen. Risiken bestehen insbesondere, wenn Anwendungen:

• Rohdatenanfragen manuell analysieren

• Sicherheitsentscheidungen auf Header stützen

• Validierungen basierend auf der Anfragestruktur umgehen

Empfohlene Maßnahmen

• Sicherheitsupdate für ASP.NET Core umgehend installieren

• Logik der Anfragenverarbeitung prüfen, insbesondere Authentifizierung, Autorisierung und Eingabevalidierung

• Proxy-Konfiguration kontrollieren, um Schmuggelversuche zu erkennen

• Sicherheitsprüfungen nicht basierend auf der Anfragestruktur umgehen

• Logs und Telemetrie auf ungewöhnliche Anfragemuster überwachen

 

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon