Redazione RHC : 19 octubre 2025 11:19
Microsoft ha corregido una vulnerabilidad peligrosa en el servidor web Kestrel para ASP.NET Core . Se le ha asignado el identificador CVE-2025-55315. Esta falla permite a un atacante que haya iniciado sesión con una cuenta válida inyectar una solicitud adicional, secuestrando así las sesiones de otros usuarios o evadiendo los filtros de seguridad externos.
La descripción oficial enfatiza que el ataque puede provocar la fuga de datos confidenciales, incluidas las credenciales de usuario, la modificación de archivos en el servidor y un bloqueo del servidor con el consiguiente impacto en la disponibilidad de recursos.
Para abordar la vulnerabilidad, Microsoft ha proporcionado recomendaciones claras para diferentes versiones de la plataforma y métodos de implementación. Los usuarios de .NET 8 y versiones posteriores deben instalar la actualización a través de Microsoft Update y luego reiniciar la aplicación o simplemente reiniciar el equipo.
Para ASP.NET Core 2.3, debe actualizar la referencia del paquete Microsoft.AspNet.Server.Kestrel.Core a la versión 2.3.6 y, a continuación, reconstruir y volver a publicar el proyecto. La documentación adjunta indica específicamente que, para la rama 2.x, también debe actualizar el paquete Microsoft.AspNetCore.Server.Kestrel.Core, reconstruir y volver a implementar la aplicación.
Para aplicaciones independientes o de un solo archivo, los pasos son los mismos: instalar la actualización de la plataforma, reconstruir y reinstalar los ejecutables. Se publicaron simultáneamente parches de seguridad para Microsoft Visual Studio 2022, ASP.NET Core 2.3, 8.0 y 9.0.
Barry Dorrance, gerente del programa de seguridad de .NET, explicó que las consecuencias de la explotación dependen de la arquitectura de la aplicación web específica . La vulnerabilidad potencialmente permite a un atacante autenticarse con una identidad falsa, iniciar solicitudes internas ocultas, implementar SSRF, eludir la protección CSRF o realizar inyecciones.
La evaluación de riesgos se basó en el peor escenario posible: una omisión de una característica de seguridad que comprometería la funcionalidad de los mecanismos de seguridad integrados . Si bien la probabilidad de que esto ocurra en proyectos típicos con una validación de solicitudes adecuada es baja, Microsoft recomienda encarecidamente a todos los usuarios que instalen la actualización.
El ciclo de parches de octubre de Microsoft fue particularmente extenso: la compañía lanzó parches para 172 vulnerabilidades, ocho de las cuales se consideraron críticas y seis eran vulnerabilidades de día cero, tres de las cuales ya habían sido explotadas activamente en ataques.
Casi al mismo tiempo, se lanzó KB5066791, una actualización acumulativa que incluía los parches de seguridad finales para Windows 10, después de que finalizara el soporte oficial para el sistema.
RedazioneUn hallazgo excepcional de los primeros tiempos de Unix podría llevar a los investigadores a los mismísimos orígenes del sistema operativo. En la Universidad de Utah se descubrió una cinta magnét...
Imagina una ciudad futurista dividida en dos: por un lado, relucientes torres de innovación; por el otro, el caos y las sombras de la pérdida de control. Esta no es una visión distópica, sino el p...
Había una vez un pueblo con un Bosque Mágico. Sus habitantes se sentían orgullosos de tenerlo, incluso un poco orgullosos. Por eso, todos sacrificaban gustosamente algunas pequeñas comodidades par...
Según informes, los servicios de inteligencia surcoreanos , incluido el Servicio Nacional de Inteligencia, creen que existe una alta probabilidad de que el presidente estadounidense Donald Trump cele...
En 2025, los usuarios siguen dependiendo en gran medida de contraseñas básicas para proteger sus cuentas. Un estudio de Comparitech, basado en un análisis de más de 2 mil millones de contraseñas ...
