Microsoft publicó una vulnerabilidad grave en ASP.NET Core (CVE-2025-55315) que posibilita a atacantes autenticados evadir controles de seguridad mediante técnicas de HTTP request smuggling.
Esta falla afecta versiones .NET 8 en adelante y .NET 2.3 con el servidor Kestrel, pudiendo comprometer confidencialidad e integridad con un impacto crítico (CVSS 9.9), mediante solicitudes HTTP maliciosas que el servidor malinterpreta.
CVE y severidad
| ID CVE | CVSS v3.1 Base Score | Severidad | Componente afectado | Impacto |
|---|---|---|---|---|
| CVE-2025-55315 | 9.9 | Crítica | ASP.NET Core (HTTP request handling) | Confidencialidad: Alta, Integridad: Alta, Disponibilidad: Baja |
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas | Plataformas/SO |
|---|---|---|---|---|
| Microsoft | ASP.NET Core | Manejo de solicitudes HTTP en servidor Kestrel | .NET 8 y versiones posteriores, .NET 2.3 con servidor Kestrel | Multiplataforma |
Solución
Actualizar a la última versión de Microsoft Update para .NET 8+ y al paquete Microsoft.AspNetCore.Server.Kestrel.Core 2.3.6 para .NET 2.3.
Recomendaciones
Priorizar la aplicación inmediata de los parches oficiales y reiniciar los servicios afectados; auditar la validación y el parsing HTTP en middleware personalizado para mitigar riesgos de manipulación de solicitudes maliciosas.