Microsoft, ASP.NET Core’da, kimliği doğrulanmış saldırganların HTTP isteklerini kaçırmasına ve kritik korumalardan kaçmasına olanak tanıyan ciddi bir güvenlik açığını açıkladı.
CVE-2025-55315 olarak izlenen güvenlik açığı, HTTP istek/yanıt kaçakçılığı olarak bilinen klasik bir sorun olan HTTP isteklerinin tutarsız şekilde işlenmesinden kaynaklanıyor.
14 Ekim 2025’te yayımlanan bu kusur, güvenli uygulamalar oluşturmak için popüler web çerçevesine güvenen geliştiricileri etkiliyor.
Etki açısından “Kritik” olarak derecelendirilen CVSS v3.1 temel puanı 9,9 olan hata, etkilenen sistemlerin gizliliği, bütünlüğü ve hatta sınırlı kullanılabilirliği açısından risk teşkil ediyor.
Güvenlik açığı, CWE-444 altında sınıflandırılan, sunucuların HTTP isteklerini yanlış yorumladığı ve saldırganların kötü amaçlı veriler eklemesine olanak tanıyan bir zayıflıktan yararlanıyor.
Düşük ayrıcalıklara sahip yetkili bir kullanıcı, web uygulaması güvenlik duvarları gibi ön uç güvenlik kontrollerini atlayarak ağ üzerinden hazırlanmış bir istek gönderebilir.
Bu, diğer kullanıcıların oturumlarını ele geçirmelerine, hassas kimlik bilgilerini çalmalarına veya sunucu dosyalarını tespit edilmeden değiştirmelerine olanak tanıyabilir. Microsoft’un analizi, başarılı bir şekilde yararlanmanın yüksek gizlilik ve bütünlük kayıplarına (C:H, I:H), düşük kullanılabilirlik etkisine (A:L) yol açtığını ve potansiyel olarak sunucu çökmelerine yol açtığını vurgulamaktadır.
Kapsam değişiklikleri (S:C), saldırının savunmasız bileşenin ötesine geçerek farklı güvenlik yetkilileri altındaki ilgisiz kaynakları etkilediği anlamına gelir.
Gerçek Dünya Senaryolarında Sömürü Riskleri
Saldırganların yalnızca düşük ayrıcalıklara ihtiyacı vardır ve kullanıcı etkileşimi yoktur, bu da bunu ağ üzerinden erişilebilen düşük karmaşıklığa sahip bir tehdit haline getirir (AV:N, AC:L, PR:L, UI:N).
Henüz kamuya açık bir istismar mevcut olmasa da Microsoft, istismarın “daha az olası” olduğunu düşünüyor, kanıtlanmamış olgunluk (E:U) aciliyeti azaltmıyor.
İçeriden birinin bir yöneticinin kimliğine bürünmek için kaçakçılık talebinde bulunduğu, maaş bordrosu verilerine eriştiği veya kötü amaçlı yazılım enjekte ettiği veya kaçakçılık taleplerinin trafiğin yoğun olduğu zamanlarda müşteri bilgilerini çekebildiği e-ticaret sitelerinde kurumsal bir intranet hayal edin.
Hata, .NET 8 ve sonraki sürümlerdeki ASP.NET Core’un yanı sıra Kestrel sunucusunu kullanan eski .NET 2.3 kurulumlarını da etkiliyor. Microsoft, aktif istismara dair hiçbir kanıt teyit etmiyor ancak teyit edilen güven (RC:C) ve resmi düzeltme (RL:O), derhal harekete geçilmesinin altını çiziyor.
.NET 8+ geliştiricileri en son Microsoft Güncellemesini uygulamalı ve uygulamaları yeniden başlatmalıdır. .NET 2.3 için Microsoft.AspNetCore.Server.Kestrel.Core paketini 2.3.6 sürümüne güncelleyin, yeniden derleyin ve yeniden konuşlandırın.
Bağımsız uygulamalar, güncelleme sonrasında yeniden derleme gerektirir. Daha kapsamlı iyileştirme, özel ara yazılımda HTTP ayrıştırmasının denetlenmesini ve katı istek doğrulamasının etkinleştirilmesini içerir.
Bu kusur, bulut hizmetlerine yönelik geçmiş saldırılarda görülen bir taktik olan HTTP kaçakçılığına ilişkin endişeleri yeniden canlandırıyor. Uzaktan çalışma saldırı yüzeylerini genişlettikçe kuruluşların yama uygulamaya öncelik vermesi gerekiyor.
Microsoft, güvenlik açığı bulunan dağıtımların taranmasını ve anormal istekler için günlüklerin izlenmesini önermektedir. Milyonlarca web uygulamasını destekleyen çerçeveyle, yama yapılmamış sistemler veri ihlalleri veya uyumluluk ihlalleri riskiyle karşı karşıyadır.
Güvenlik ekipleri, özellikle çerçevenin kurumsal yığınlardaki rolü göz önüne alındığında, bunu güvenlik açığı yönetimi iş akışlarına entegre etmelidir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
