Microsoft, ASP.NET Core platformunda tespit edilen ve bugüne kadar bu sistemde görülen en yüksek önem derecesine sahip güvenlik açığını kapattı. Şirket, CVE-2025-55315 koduyla tanımlanan hatanın HTTP istek işleme sürecinde ortaya çıktığını belirtti.
Hata Kullanıcı Bilgilerinin Ele Geçirilmesine Yol Açabiliyordu
Güvenlik açığı, ASP.NET Core’un Kestrel adlı web sunucusunda yer alıyordu. Microsoft, bu zafiyetin kimliği doğrulanmış saldırganların sahte HTTP istekleri göndererek diğer kullanıcıların oturum bilgilerini ele geçirmesine veya sunucu üzerindeki güvenlik kontrollerini atlatmasına neden olabileceğini açıkladı. Açığın sistem bütünlüğünü etkileyerek dosya içeriğinde değişikliğe yol açabileceği, hatta sunucunun çökmesine sebep olabileceği bildirildi.
Şirket, farklı .NET sürümleri için güvenlik önlemlerini detaylandırdı. .NET 8 ve üzeri sürümler için Microsoft Update üzerinden yayınlanan güncellemenin yüklenmesi, ardından uygulamanın veya sistemin yeniden başlatılması gerekiyor. .NET 2.3 kullananların ise Microsoft.AspNet.Server.Kestrel.Core paketini 2.3.6 sürümüne yükseltmesi, uygulamayı yeniden derleyip dağıtması tavsiye edildi. Tek dosya veya bağımsız çalışan uygulamalar için de aynı güncelleme süreci uygulanacak.
Microsoft, güvenlik açığını gidermek için Visual Studio 2022, ASP.NET Core 2.3, 8.0 ve 9.0 sürümlerinde güncelleme yayınladı. Ayrıca ASP.NET Core 2.x sürümleri için Kestrel Core paketinin yeni sürümü kullanıma sunuldu.
Microsoft’un güvenlik program yöneticisi Barry Dorrans, açığın etkisinin uygulamaların kod yapısına bağlı olduğunu belirtti. Başarılı bir saldırının kullanıcı yetkilerini yükseltebileceğini, sunucu içi istekler gönderebileceğini veya kimlik doğrulama denetimlerini atlatabileceğini ifade etti. Dorrans, olasılığın düşük olduğunu ancak geliştiricilerin güncelleme yapmalarının zorunlu olduğunu vurguladı.
Microsoft, aynı hafta içinde yayınladığı güvenlik paketinde toplam 172 güvenlik açığını giderdi. Bunlar arasında sekiz kritik açık ve altı sıfır gün zafiyeti de yer aldı. Şirket ayrıca KB5066791 numaralı toplu güncellemeyle Windows 10 için son güvenlik yamalarını yayınladı.
