- CVE-2025-55315 дозволяє трафік запитів HTTP в ASP.NET Core (Ступінь серйозності 9.9/10)
- QNAP закликає користувачів NetBackup PC Agent виправити уражені компоненти ASP.NET Core
- Оновлення доступні після перевстановлення або встановлення .NET 8.0 Runtime вручну
QNAP попереджає своїх клієнтів про необхідність виправити критичну вразливість ASP.NET Core і таким чином захистити інсталяцію NetBackup PC Agent.
У консультації щодо безпеки виробник пристроїв NAS сказав, що Microsoft нещодавно розкрила помилку, що впливає на ASP.NET Core, яка «може дозволити зловмиснику обійти засоби контролю безпеки через контрабанду запитів HTTP».
QNAP має на увазі «помилку контрабанди HTTP-запитів», уразливість, яка відстежується як CVE-2025-55315, яка має оцінку серйозності 9,9/10 (серйозна). Це впливає на веб-сервер Kestrel ASP.NET Core і дозволяє неавтентифікованим зловмисникам «переправляти» вторинні HTTP-запити в оригінальний запит – і було описано як «найбільша» вразливість на сьогоднішній день, яка завдає шкоди продукту ASP.NET Core.
Два способи латання
QNAP пояснив: «У разі успішного використання автентифікований зловмисник може надіслати спеціально створені HTTP-запити на веб-сервер, що призведе до несанкціонованого доступу до конфіденційних даних, модифікації файлів сервера або умов обмеженої відмови в обслуговуванні».
Крім того, компанія повідомила, що, оскільки NetBackup PC Agent встановлює та покладається на компоненти Microsoft ASP.NET Core під час налаштування, вони можуть постраждати від цієї проблеми.
«QNAP наполегливо рекомендує користувачам інсталювати останні оновлення Microsoft ASP.NET Core на своїх системах Windows», — йдеться в повідомленні.
QNAP далі заявляє, що існує два методи оновлення ASP.NET Core. Перший — перевстановити NetBackup PC Agent (спочатку видаліть існуюче рішення, потім завантажте та інсталюйте останню версію), а другий — оновити ASP.NET Core вручну. Це можна зробити, відвідавши сторінку завантаження .NET 8.0, а потім завантаживши та встановивши останню версію ASP.NET Core Runtime (Hosting Bundle).
«Станом на жовтень 2025 року остання версія — 8.0.21», — підтвердили в компанії. Останнім кроком є перезапуск програми або всієї системи.
Microsoft випустила оновлення безпеки для Microsoft Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0 і ASP.NET Core 9.0, а також програм ASP.NET Core 2.x. Microsoft також випустила пакет.AspNetCore.Server.Kestrel.Core.
через bleepingcomputer
Найкращий антивірус на будь-який бюджет
Слідкуйте за TechRadar у Новинах Google І Додайте нас як улюблене джерело Щоб отримувати наші експертні новини, огляди та думки у вашій стрічці. Обов’язково натисніть кнопку підписки!
І так, ви теж можете Слідкуйте за TechRadar у TikTok Новини, огляди, розпакування у вигляді відео та регулярні оновлення від нас WhatsApp дуже.
