Freym PC Blog

Vulnerabilidad CVE-2025-55315 - ASP.NET Core - CVSS crítico de 9.9

Admin
October 20, 2025
Vulnerabilidad CVE-2025-55315 - ASP.NET Core - CVSS crítico de 9.9
Translate to:

La vulnerabilidad CVE-2025-55315 es una de las más graves reportadas este año en el ecosistema .NET. Identificada en octubre de 2025, ha sido catalogada por Microsoft con un CVSS crítico de 9.9, marcando la severidad más alta registrada hasta ahora para una falla en ASP.NET Core. Su explotación permite ataques de HTTP Request Smuggling (HRS), salto de autenticación y acceso a datos confidenciales en servidores web que usen Kestrel o algún proxy intermedio incompatible.

Descripción general

  • ID: CVE-2025-55315
  • Severidad: Crítica (CVSS 9.9)
  • Publicación: 15 de octubre de 2025
  • Vector: Red (remoto, HTTP)
  • Afecta a: ASP.NET Core (todas las versiones previas a .NET 8.0.5 y .NET 6.0.31)
  • Componentes vulnerables:
    • Servidor web Kestrel
    • Middleware HttpRequestStream
    • Aplicaciones con proxy inverso, CDN o balanceadores de carga mal configurados
  • Estatus: Parche disponible y explotaciones detectadas en entornos de API públicos.

Naturaleza del fallo

CVE-2025-55315 surge debido a una interpretación inconsistente entre Kestrel y otros componentes HTTP (por ejemplo, proxies como NGINX, Cloudflare o Azure Front Door) en el manejo de los encabezados Content-Length y Transfer-Encoding.

Cuando un atacante manipula estos encabezados de forma maliciosa, inyecta una solicitud HTTP secundaria (“smuggled request”) dentro de la original, consiguiendo desincronizar las colas de solicitudes entre el proxy y el backend .NET. Esta técnica puede:

  1. Evadir autenticación y controles CSRF
  2. Realizar Server-Side Request Forgery (SSRF) para acceder a la red interna
  3. Capturar credenciales o tokens de sesión de otros usuarios
  4. Ejecutar código o alterar archivos en casos donde existan rutas vulnerables o validaciones deficientes

Ejemplo conceptual simplificado:

POST /api/account/login HTTP/1.1
Host: vulnerable-app
Content-Length: 44
Transfer-Encoding: chunked

0

GET /api/admin/deleteUser?id=1 HTTP/1.1
Host: vulnerable-app

El servidor de aplicación procesa la petición embebida de administración como si proviniera del mismo usuario autenticado, lo que permite suplantación de identidad o manipulación de datos.

Impacto técnico

  • Confidencialidad: Acceso a credenciales o tokens de otras sesiones.
  • Integridad: Modificación de contenido o ejecución no autorizada.
  • Disponibilidad: Posible denegación de servicio (DoS) mediante desincronización persistente del socket.
  • Requisitos: El atacante debe tener acceso HTTP al servicio vulnerable (autenticado o no, según la configuración).

Microsoft confirmó que esta vulnerabilidad ha sido explotada en entornos públicos de API y web, especialmente cuando se ejecutaban versiones de Kestrel sin la última revisión del manejador de solicitudes.

Mitigación y parches

Soluciones oficiales de Microsoft:

Entorno / Versión Acción recomendada
.NET 8.x Actualizar a .NET SDK/runtime 8.0.5 o superior mediante Windows Update o manualmente desde el portal oficial. Reiniciar el servidor después del parche.
.NET 6.x (LTS) Actualizar a 6.0.31, recompilar las aplicaciones y redeployar.
ASP.NET Core 2.3 Actualizar el paquete Microsoft.AspNet.Server.Kestrel.Core a versión 2.3.6, recompilar y volver a desplegar.
Servidores proxy Asegurar coherencia de cabeceras (Content-Length, Transfer-Encoding) y bloquear envíos mixtos.
Entornos cloud Actualizar balanceadores inversos y revisar logs ante posibles HRS previos.

Mitigaciones adicionales:

  • Implementar validación estricta de longitud del cuerpo HTTP.
  • Activar logging de cabeceras anómalas y desincronización en Kestrel.
  • Aislar servidores internos y desactivar el reenvío directo de headers sensibles.

Contexto de explotación

  • Se detectaron exploits PoC en GitHub y foros privados en la semana del 16 de octubre.
  • Los ataques iniciales fueron dirigidos contra API REST públicas, particularmente servicios OAuth2 y microservicios Extranet.
  • Microsoft y empresas de seguridad como Wiz y HeroDevs confirmaron actividad relacionada desde redes IP de Tor y servicios VPS automatizados.

Conclusión

CVE-2025-55315 representa una amenaza crítica para entornos ASP.NET modernos hospedados en servidores Kestrel o API públicas. Combina facilidad de explotación, amplio alcance y un potencial devastador de robo de credenciales o manipulación de datos. Las actualizaciones del 14–16 de octubre de 2025 neutralizan el defecto, pero se recomienda auditar logs y tráfico HTTP de las semanas previas para detectar comportamientos inusuales.

Fuentes: NVD, Microsoft Security Response Center (MSRC), Wiz Security Research Database, HeroDevs Security Blog, Bleeping Computer, y Qualys Threat Research.

Comments (0)

No comments yet. Be the first to comment!