Redazione RHC : 19 octubre 2025 11:19
Microsoft ha corregido una vulnerabilidad peligrosa en el servidor web Kestrel para ASP.NET Core . Se le ha asignado el identificador CVE-2025-55315. Esta falla permite a un atacante que haya iniciado sesión con una cuenta válida inyectar una solicitud adicional, secuestrando así las sesiones de otros usuarios o evadiendo los filtros de seguridad externos.
La descripción oficial enfatiza que el ataque puede provocar la fuga de datos confidenciales, incluidas las credenciales de usuario, la modificación de archivos en el servidor y un bloqueo del servidor con el consiguiente impacto en la disponibilidad de recursos.
Para abordar la vulnerabilidad, Microsoft ha proporcionado recomendaciones claras para diferentes versiones de la plataforma y métodos de implementación. Los usuarios de .NET 8 y versiones posteriores deben instalar la actualización a través de Microsoft Update y luego reiniciar la aplicación o simplemente reiniciar el equipo.
Para ASP.NET Core 2.3, debe actualizar la referencia del paquete Microsoft.AspNet.Server.Kestrel.Core a la versión 2.3.6 y, a continuación, reconstruir y volver a publicar el proyecto. La documentación adjunta indica específicamente que, para la rama 2.x, también debe actualizar el paquete Microsoft.AspNetCore.Server.Kestrel.Core, reconstruir y volver a implementar la aplicación.
Para aplicaciones independientes o de un solo archivo, los pasos son los mismos: instalar la actualización de la plataforma, reconstruir y reinstalar los ejecutables. Se publicaron simultáneamente parches de seguridad para Microsoft Visual Studio 2022, ASP.NET Core 2.3, 8.0 y 9.0.
Barry Dorrance, gerente del programa de seguridad de .NET, explicó que las consecuencias de la explotación dependen de la arquitectura de la aplicación web específica . La vulnerabilidad potencialmente permite a un atacante autenticarse con una identidad falsa, iniciar solicitudes internas ocultas, implementar SSRF, eludir la protección CSRF o realizar inyecciones.
La evaluación de riesgos se basó en el peor escenario posible: una omisión de una característica de seguridad que comprometería la funcionalidad de los mecanismos de seguridad integrados . Si bien la probabilidad de que esto ocurra en proyectos típicos con una validación de solicitudes adecuada es baja, Microsoft recomienda encarecidamente a todos los usuarios que instalen la actualización.
El ciclo de parches de octubre de Microsoft fue particularmente extenso: la compañía lanzó parches para 172 vulnerabilidades, ocho de las cuales se consideraron críticas y seis eran vulnerabilidades de día cero, tres de las cuales ya habían sido explotadas activamente en ataques.
Casi al mismo tiempo, se lanzó KB5066791, una actualización acumulativa que incluía los parches de seguridad finales para Windows 10, después de que finalizara el soporte oficial para el sistema.
RedazioneInvestigadores de VUSec han presentado un artículo titulado «Entrenamiento en solitario», que cuestiona los principios fundamentales de la protección contra ataques Spectre-v2 . Anteriormente , se...
El 20 de septiembre, informamos sobre un ciberataque que paralizó varios aeropuertos europeos, incluidos los de Bruselas, Berlín y Londres-Heathrow. Se trató de un ataque a la cadena de suministro ...
El sistema penitenciario rumano se ha visto envuelto en un grave escándalo digital: reclusos de Târgu Jiu piratearon la plataforma interna de la ANP y, durante varios meses, gestionaron sin ser dete...
Hoy en día, vivimos en un mundo donde el wifi es una necesidad fundamental, pero ¿cómo surgió esta tecnología, que ahora damos por sentada? ¿Cómo se convirtió en la red que usamos a diario? En...
El 10 de octubre de 2025, las autoridades letonas llevaron a cabo una jornada de acción que resultó en la detención de cinco ciudadanos letones sospechosos de dirigir una red de ciberfraude a gran ...
