Microsoft, ASP.NET Core’da saldırganların HTTP isteği kaçakçılığı saldırıları yürütmesine olanak tanıyan ciddi bir güvenlik açığını gideren kritik bir güvenlik güncelleştirmesi yayımladı.
14 Ekim 2025’te şirket, Kestrel web sunucusu bileşenini 9,9’luk endişe verici CVSS puanıyla etkileyen ve onu kritik önem derecesi kategorisine yerleştiren bir güvenlik özelliği atlama kusuru olan CVE-2025-55315 için yamalar yayınladı.
| CVE Kimliği | Etkilenen Ürün | Güvenlik Açığı Türü | CVSS 3.1 Puanı | Kullanım Önkoşulları |
| CVE-2025-55315 | ASP.NET Core (Kestrel web sunucusu) | Güvenlik Özelliği Bypass / HTTP İsteği Kaçakçılığı | 9.9 (Kritik) | Belirli bir yapılandırmaya sahip Kestrel sunucusunu kullanan ASP.NET Core uygulaması |
Kritik Tehdidi Anlamak
Güvenlik açığı, birçok kurumsal uygulamanın temelini oluşturan ASP.NET Core’un Kestrel web sunucusundaki hatalı istek ayrıştırmasından kaynaklanıyor.
Belirli koşullar altında Kestrel, istek sınırlarını doğru şekilde doğrulamakta başarısız olur ve saldırganların meşru trafiğe gizli kötü amaçlı istekler eklemesi için bir fırsat yaratır.
Bu güvenlik özelliği atlaması, uygulamaların hassas kaynakları korumak için kullandığı kimlik doğrulama ve yetkilendirme mekanizmalarını zayıflatabilir.
HTTP istek kaçakçılığı, proxy’ler ve arka uç sunucular gibi istek işleme zincirindeki farklı bileşenler arasındaki tutarsızlıklardan yararlanır.
Saldırganlar, görünüşte normal olan bir isteğin içindeki ikinci bir isteği gizlemek için Content-Length ve Transfer-Encoding gibi HTTP başlıklarını manipüle eder.
Proxy ve arka uç sunucusu bu başlıkları farklı yorumladığında, gizli istek güvenlik kontrollerini atlayabilir ve korunan uygulama koduna fark edilmeden ulaşabilir.
9.9 CVSS puanı, ayrıcalık yükselmesi, sunucu tarafı istek sahteciliği, oturumun ele geçirilmesi ve bazı senaryolarda potansiyel kod yürütme gibi potansiyel etkilerin ciddiyetini yansıtır.
Her ASP.NET Core uygulaması güvenlik açığına sahip olmasa da, yüksek puan, özellikle hassas veya yüksek düzeyde düzenlemeye tabi verileri işleyen uygulamalar için, anında iyileştirmeyi teşvik eden en kötü senaryoları hesaba katar.
Bir saldırganın, proxy sunucusu ile Kestrel arka ucu arasındaki ayrıştırma farklılıklarından yararlanan bir istek oluşturduğu bir senaryoyu düşünün.
Saldırgan, istek başlıklarını değiştirerek normal yönlendirme ve güvenlik kontrollerini atlayan gizli bir isteği kaçırır. Bu kaçak istek, genellikle korunan yönetim uç noktalarını, dahili API’leri veya kimlik doğrulama mekanizmalarını hedef alıyor olabilir.
Örneğin, kaçak bir oturum açma isteği, uygulama mantığının uygun doğrulama olmadan belirli başlıklara güvenmesi durumunda ayrıcalık artışına yol açabilir.
Benzer şekilde, dahili API’lere yapılan kaçak çağrılar, sunucu tarafı istek sahteciliğine olanak tanıyarak saldırganların izole kalması gereken kaynaklara erişmesine olanak tanıyabilir.
CSRF token doğrulamasının zayıf olduğu durumlarda, kaçak talepler oturumun ele geçirilmesini kolaylaştırabilir. Giriş temizleme boşluklarıyla birleştiğinde, bu güvenlik açığından kaçırılan enjeksiyon yükleri potansiyel olarak kod yürütülmesine yol açabilir.
ASP.NET Core uygulamalarını çalıştıran kuruluşlar, 14 Ekim 2025 güvenlik güncelleştirmesini hemen uygulamaya öncelik vermelidir.
Güvenlik açığı hiçbir kullanıcı etkileşimi gerektirmiyor ve düşük saldırı karmaşıklığıyla ağ üzerinden uzaktan kullanılabiliyor, bu da onu kötü niyetli aktörler için çekici bir hedef haline getiriyor.
Sistem yöneticileri, özellikle üretim ortamlarında Kestrel kullananlar olmak üzere ASP.NET Core dağıtımlarını gözden geçirmeli ve sağlam güvenlik duruşlarını sürdürmek için yamaları gecikmeden uygulamalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.