CVE-2025-55315 是 ASP.NET Core Kestrel 網頁伺服器中的一個關鍵漏洞，可能導致 HTTP 請求走私攻擊，其 CVSS 評分高達 9.9。此漏洞利用伺服器對 HTTP 請求解析不一致的弱點，讓已驗證的攻擊者可以繞過安全功能，執行惡意操作。

攻擊條件 ：雖然需要攻擊者擁有有效的低權限使用者憑證才能利用此漏洞，但一旦成功，其影響極為嚴重。

由於攻擊可遠端執行（AV:N）、利用門檻低（AC:L）、不需憑證或互動（PR:N、UI:N），且機密性、完整性、可用性皆受高影響，因此 CVSS 評分達到 9.9 的 Critical 級。

潛在影響
若成功利用，攻擊者可能執行以下操作：

1. 繞過權限檢查：規避安全功能，例如 CSRF 防護。
2. 假冒使用者：劫持其他使用者的憑證或會話，進行權限提升。
3. 執行伺服器端請求偽造 (SSRF)：發出惡意的伺服器端請求。
4. 存取或竄改資料：讀取敏感資訊或修改伺服器上的檔案內容。
5. 阻斷服務 (DoS)：在某些部署架構下導致伺服器崩潰或拒絕服務。

檢驗與確認方式檢查 .NET 與 Kestrel 版本：
受影響的組合包括：
- ASP.NET Core 6.0.0 – 6.0.36
- ASP.NET Core 8.0.0 – 8.0.20
- ASP.NET Core 9.0.0 – 9.0.9
- Microsoft.AspNetCore.Server.Kestrel.Core ≤ 2.3.0 。
可透過 CLI 檢查：dotnet --info或查看 project 檔中的 Microsoft.AspNetCore.Server.Kestrel.Core 套件版本。檢視是否部署自包含（self-contained）應用：
如有使用 self-contained 或 single-file 發行方式，需重新編譯與重新佈署 。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-55315?WT.mc_id=DOP-MVP-37580

修補與緩解方法Microsoft 已於 2025 年10月 Patch Tuesday 釋出修補更新 ：

若運行 .NET 8 或以上版本，請使用 Windows Update 或 dotnet sdk update 安裝最新安全更新後重新啟動應用或伺服器 。

若仍使用 ASP.NET Core 2.3 系列，更新 Microsoft.AspNetCore.Server.Kestrel.Core 至 2.3.6，重新編譯與佈署 。

已達 EOL 的舊版 .NET （如 5 與 7）不再支援，需升級至受支援版本 。

若有負載平衡器或 WAF （如 NGINX、Azure Front Door），建議啟用嚴格的 HTTP 標頭驗證以降低走私攻擊風險。

此漏洞強調 HTTP 協定解析安全的重要性。各機構應盡速驗證系統版本、採取更新與補強措施，以防止請求走私攻擊造成進一步滲透風險。

數苗觀點

從推廣「數碼安全教育」及「青年資訊素養」的角度出發，我們提出以下觀察與建議：

1. 以真實案例強化學習體驗
本次漏洞展示了程式設計中細節錯誤如何造成嚴重安全後果，這可成為青少年了解「防禦式思維」的最佳教材。


2. 培養青年「防守式創新」能力
安全與創新並非對立，透過分析真實漏洞，青年可理解如何在創新過程中建立安全框架，從源頭減少風險。


3. 推動跨界安全協作文化
非牟利機構、學界與企業應共同建立「資安快訊分享與應變社群」，在漏洞披露初期即啟動教育與修補行動，減少受害面。


資訊安全顧問委員會
數苗青少年慈善基金
2025年10月20日