Redazione RHC : 19 Ottobre 2025 09:25
Microsoft ha corretto una pericolosa vulnerabilità nel server web Kestrel per ASP.NET Core. Le è stato assegnato l’identificatore CVE-2025-55315. La falla consente a un aggressore che ha effettuato l’accesso con un account valido di iniettare una richiesta aggiuntiva, dirottando così le sessioni di altri utenti o aggirando i filtri di sicurezza esterni.
La descrizione ufficiale sottolinea che l’attacco può portare alla fuga di dati riservati, tra cui credenziali utente, alla modifica di file sul server e a un crash del server con conseguente impatto sulla disponibilità delle risorse.
Per risolvere la vulnerabilità, Microsoft ha fornito raccomandazioni chiare per diverse versioni della piattaforma e metodi di distribuzione. Gli utenti di .NET 8 e build successive devono installare l’aggiornamento tramite Microsoft Update e quindi riavviare l’applicazione o semplicemente riavviare il computer.
 Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro.
Scarica ora la Demo di Business Log per 30gg
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Per ASP.NET Core 2.3, è necessario aggiornare il riferimento al pacchetto Microsoft.AspNet.Server.Kestrel.Core alla versione 2.3.6, quindi ricostruire e ripubblicare il progetto. La documentazione allegata indica specificamente che per il ramo 2.x, è necessario aggiornare anche il pacchetto Microsoft.AspNetCore.Server.Kestrel.Core, ricompilare e distribuire nuovamente l’applicazione.
Per le applicazioni autonome o a file singolo, i passaggi sono gli stessi: installare l’aggiornamento della piattaforma, ricostruire e reinstallare gli eseguibili. Le patch di sicurezza sono state rilasciate contemporaneamente per Microsoft Visual Studio 2022, ASP.NET Core 2.3, 8.0 e 9.0.
Barry Dorrance, responsabile del programma di sicurezza .NET, ha spiegato che le conseguenze dello sfruttamento dipendono dall’architettura della specifica applicazione web. La vulnerabilità consente potenzialmente a un aggressore di autenticarsi con una falsa identità, avviare richieste interne nascoste, implementare SSRF , bypassare la protezione CSRF o eseguire iniezioni.
La valutazione del rischio si è basata sullo scenario peggiore: un bypass delle funzionalità di sicurezza che comprometterebbe la funzionalità dei meccanismi di sicurezza integrati. Sebbene la probabilità che si verifichi un simile scenario in progetti tipici con una convalida delle richieste adeguata sia bassa, Microsoft consiglia vivamente a tutti gli utenti di installare l’aggiornamento.
Il ciclo di patch di ottobre di Microsoft è stato particolarmente esteso: l’azienda ha rilasciato patch per 172 vulnerabilità, otto delle quali sono state considerate critiche e sei erano vulnerabilità zero-day, tre delle quali erano già state attivamente sfruttate in attacchi.
Nello stesso periodo, KB5066791, un aggiornamento cumulativo che includeva le patch di sicurezza definitive per Windows 10, è stato rilasciato al termine del supporto ufficiale per il sistema.
RedazioneCisco ha reso noto recentemente di aver scoperto una nuova tipologia di attacco informatico mirato a compromettere i dispositivi che operano con i software Cisco Secure Firewall Adaptive Security Appl...
Nel mese di Settembre è uscita una nuova vulnerabilità che riguarda Notepad++. La vulnerabilità è stata identificata con la CVE-2025-56383 i dettagli possono essere consultati nel sito del NIST. L...
Gli aggressori stanno utilizzando una tecnica avanzata che implica il caricamento laterale di DLL tramite l’applicazione Microsoft OneDrive. In questo modo riescono ad eseguire codice malevolo senza...
I ladri sono entrati attraverso una finestra del secondo piano del Musée du Louvre, ma il museo aveva avuto anche altri problemi oltre alle finestre non protette, secondo un rapporto di audit sulla s...
Reuters ha riferito che Trump ha detto ai giornalisti durante un’intervista preregistrata nel programma “60 Minutes” della CBS e sull’Air Force One durante il viaggio di ritorno: “I chip pi�...
