“Microsoft แก้ไขช่องโหว่ร้ายแรงที่สุดใน ASP.NET Core — ช่องโหว่ HTTP Request Smuggling ที่อาจทำให้เซิร์ฟเวอร์ล่ม” — เมื่อช่องโหว่ระดับ 9.9/10 เปิดทางให้แฮกเกอร์เข้าถึงข้อมูล ลบไฟล์ และทำให้ระบบพังได้ในคำขอเดียว
Microsoft ได้ออกแพตช์แก้ไขช่องโหว่ CVE-2025-55315 ซึ่งเป็นบั๊กประเภท “HTTP request smuggling” ที่เกิดขึ้นใน Kestrel web server ของ ASP.NET Core โดยช่องโหว่นี้ได้รับคะแนนความรุนแรงสูงถึง 9.9 เต็ม 10 ซึ่งถือเป็นระดับ “critical” และเป็นหนึ่งในช่องโหว่ที่ร้ายแรงที่สุดเท่าที่เคยพบในผลิตภัณฑ์ของ Microsoft
ช่องโหว่นี้เปิดทางให้ผู้โจมตีที่ไม่ได้รับการยืนยันตัวตนสามารถ “ซ่อนคำขอ HTTP ที่สอง” ไว้ในคำขอแรกได้ ทำให้สามารถข้ามการตรวจสอบสิทธิ์ เข้าถึงข้อมูลผู้ใช้คนอื่น ลบหรือแก้ไขไฟล์ และแม้แต่ทำให้เซิร์ฟเวอร์ล่มได้
Microsoft ได้ออกอัปเดตสำหรับ .NET และ Visual Studio หลายเวอร์ชัน รวมถึงแนะนำวิธีแก้ไขเฉพาะสำหรับผู้ใช้แต่ละกลุ่ม เช่น ผู้ใช้ .NET 8, .NET 2.3 และแอปแบบ single-file/self-contained
Barry Dorrans ผู้จัดการด้านความปลอดภัยของ .NET ระบุว่า คะแนน 9.9 อาจดูสูงเกินจริง แต่การให้คะแนนนั้นอิงจาก “กรณีเลวร้ายที่สุด” ที่แอปพลิเคชันอาจเปิดช่องให้ bypass ระบบความปลอดภัยได้โดยตรง ซึ่งขึ้นอยู่กับว่าแต่ละแอปเขียนมาอย่างไร
Microsoft แก้ไขช่องโหว่ CVE-2025-55315 ใน ASP.NET Core
เป็นช่องโหว่ประเภท HTTP request smuggling ที่เกิดใน Kestrel web server
ช่องโหว่นี้ได้รับคะแนนความรุนแรง 9.9/10
ถือเป็นหนึ่งในช่องโหว่ที่ร้ายแรงที่สุดในผลิตภัณฑ์ของ Microsoft
ผู้โจมตีสามารถส่งคำขอ HTTP ซ้อนกันในคำขอเดียว
ทำให้ข้ามการตรวจสอบสิทธิ์ เข้าถึงข้อมูล และทำให้เซิร์ฟเวอร์ล่ม
Microsoft ออกอัปเดตสำหรับ .NET และ Visual Studio หลายเวอร์ชัน
รวมถึง ASP.NET Core 2.3, 8.0, 9.0 และแพ็กเกจ Kestrel Core
วิธีแก้ไขสำหรับผู้ใช้ .NET 8 หรือใหม่กว่า
ติดตั้งอัปเดตผ่าน Microsoft Update
วิธีแก้ไขสำหรับผู้ใช้ .NET 2.3
อัปเดตแพ็กเกจ Kestrel Core เป็นเวอร์ชัน 2.3.6 แล้ว recompile และ redeploy
วิธีแก้ไขสำหรับแอปแบบ self-contained/single-file
ติดตั้งอัปเดต .NET แล้ว recompile และ redeploy
Barry Dorrans ระบุว่าคะแนนความรุนแรงอิงจากกรณีเลวร้ายที่สุด
เพราะขึ้นอยู่กับว่าแต่ละแอปเขียนมาอย่างไร
https://www.techradar.com/pro/security/microsoft-fixes-one-of-its-highest-ever-rated-security-flaws-heres-what-happened
Microsoft ได้ออกแพตช์แก้ไขช่องโหว่ CVE-2025-55315 ซึ่งเป็นบั๊กประเภท “HTTP request smuggling” ที่เกิดขึ้นใน Kestrel web server ของ ASP.NET Core โดยช่องโหว่นี้ได้รับคะแนนความรุนแรงสูงถึง 9.9 เต็ม 10 ซึ่งถือเป็นระดับ “critical” และเป็นหนึ่งในช่องโหว่ที่ร้ายแรงที่สุดเท่าที่เคยพบในผลิตภัณฑ์ของ Microsoft
ช่องโหว่นี้เปิดทางให้ผู้โจมตีที่ไม่ได้รับการยืนยันตัวตนสามารถ “ซ่อนคำขอ HTTP ที่สอง” ไว้ในคำขอแรกได้ ทำให้สามารถข้ามการตรวจสอบสิทธิ์ เข้าถึงข้อมูลผู้ใช้คนอื่น ลบหรือแก้ไขไฟล์ และแม้แต่ทำให้เซิร์ฟเวอร์ล่มได้
Microsoft ได้ออกอัปเดตสำหรับ .NET และ Visual Studio หลายเวอร์ชัน รวมถึงแนะนำวิธีแก้ไขเฉพาะสำหรับผู้ใช้แต่ละกลุ่ม เช่น ผู้ใช้ .NET 8, .NET 2.3 และแอปแบบ single-file/self-contained
Barry Dorrans ผู้จัดการด้านความปลอดภัยของ .NET ระบุว่า คะแนน 9.9 อาจดูสูงเกินจริง แต่การให้คะแนนนั้นอิงจาก “กรณีเลวร้ายที่สุด” ที่แอปพลิเคชันอาจเปิดช่องให้ bypass ระบบความปลอดภัยได้โดยตรง ซึ่งขึ้นอยู่กับว่าแต่ละแอปเขียนมาอย่างไร
Microsoft แก้ไขช่องโหว่ CVE-2025-55315 ใน ASP.NET Core
เป็นช่องโหว่ประเภท HTTP request smuggling ที่เกิดใน Kestrel web server
ช่องโหว่นี้ได้รับคะแนนความรุนแรง 9.9/10
ถือเป็นหนึ่งในช่องโหว่ที่ร้ายแรงที่สุดในผลิตภัณฑ์ของ Microsoft
ผู้โจมตีสามารถส่งคำขอ HTTP ซ้อนกันในคำขอเดียว
ทำให้ข้ามการตรวจสอบสิทธิ์ เข้าถึงข้อมูล และทำให้เซิร์ฟเวอร์ล่ม
Microsoft ออกอัปเดตสำหรับ .NET และ Visual Studio หลายเวอร์ชัน
รวมถึง ASP.NET Core 2.3, 8.0, 9.0 และแพ็กเกจ Kestrel Core
วิธีแก้ไขสำหรับผู้ใช้ .NET 8 หรือใหม่กว่า
ติดตั้งอัปเดตผ่าน Microsoft Update
วิธีแก้ไขสำหรับผู้ใช้ .NET 2.3
อัปเดตแพ็กเกจ Kestrel Core เป็นเวอร์ชัน 2.3.6 แล้ว recompile และ redeploy
วิธีแก้ไขสำหรับแอปแบบ self-contained/single-file
ติดตั้งอัปเดต .NET แล้ว recompile และ redeploy
Barry Dorrans ระบุว่าคะแนนความรุนแรงอิงจากกรณีเลวร้ายที่สุด
เพราะขึ้นอยู่กับว่าแต่ละแอปเขียนมาอย่างไร
https://www.techradar.com/pro/security/microsoft-fixes-one-of-its-highest-ever-rated-security-flaws-heres-what-happened
🛡️ “Microsoft แก้ไขช่องโหว่ร้ายแรงที่สุดใน ASP.NET Core — ช่องโหว่ HTTP Request Smuggling ที่อาจทำให้เซิร์ฟเวอร์ล่ม” — เมื่อช่องโหว่ระดับ 9.9/10 เปิดทางให้แฮกเกอร์เข้าถึงข้อมูล ลบไฟล์ และทำให้ระบบพังได้ในคำขอเดียว
Microsoft ได้ออกแพตช์แก้ไขช่องโหว่ CVE-2025-55315 ซึ่งเป็นบั๊กประเภท “HTTP request smuggling” ที่เกิดขึ้นใน Kestrel web server ของ ASP.NET Core โดยช่องโหว่นี้ได้รับคะแนนความรุนแรงสูงถึง 9.9 เต็ม 10 ซึ่งถือเป็นระดับ “critical” และเป็นหนึ่งในช่องโหว่ที่ร้ายแรงที่สุดเท่าที่เคยพบในผลิตภัณฑ์ของ Microsoft
ช่องโหว่นี้เปิดทางให้ผู้โจมตีที่ไม่ได้รับการยืนยันตัวตนสามารถ “ซ่อนคำขอ HTTP ที่สอง” ไว้ในคำขอแรกได้ ทำให้สามารถข้ามการตรวจสอบสิทธิ์ เข้าถึงข้อมูลผู้ใช้คนอื่น ลบหรือแก้ไขไฟล์ และแม้แต่ทำให้เซิร์ฟเวอร์ล่มได้
Microsoft ได้ออกอัปเดตสำหรับ .NET และ Visual Studio หลายเวอร์ชัน รวมถึงแนะนำวิธีแก้ไขเฉพาะสำหรับผู้ใช้แต่ละกลุ่ม เช่น ผู้ใช้ .NET 8, .NET 2.3 และแอปแบบ single-file/self-contained
Barry Dorrans ผู้จัดการด้านความปลอดภัยของ .NET ระบุว่า คะแนน 9.9 อาจดูสูงเกินจริง แต่การให้คะแนนนั้นอิงจาก “กรณีเลวร้ายที่สุด” ที่แอปพลิเคชันอาจเปิดช่องให้ bypass ระบบความปลอดภัยได้โดยตรง ซึ่งขึ้นอยู่กับว่าแต่ละแอปเขียนมาอย่างไร
✅ Microsoft แก้ไขช่องโหว่ CVE-2025-55315 ใน ASP.NET Core
➡️ เป็นช่องโหว่ประเภท HTTP request smuggling ที่เกิดใน Kestrel web server
✅ ช่องโหว่นี้ได้รับคะแนนความรุนแรง 9.9/10
➡️ ถือเป็นหนึ่งในช่องโหว่ที่ร้ายแรงที่สุดในผลิตภัณฑ์ของ Microsoft
✅ ผู้โจมตีสามารถส่งคำขอ HTTP ซ้อนกันในคำขอเดียว
➡️ ทำให้ข้ามการตรวจสอบสิทธิ์ เข้าถึงข้อมูล และทำให้เซิร์ฟเวอร์ล่ม
✅ Microsoft ออกอัปเดตสำหรับ .NET และ Visual Studio หลายเวอร์ชัน
➡️ รวมถึง ASP.NET Core 2.3, 8.0, 9.0 และแพ็กเกจ Kestrel Core
✅ วิธีแก้ไขสำหรับผู้ใช้ .NET 8 หรือใหม่กว่า
➡️ ติดตั้งอัปเดตผ่าน Microsoft Update
✅ วิธีแก้ไขสำหรับผู้ใช้ .NET 2.3
➡️ อัปเดตแพ็กเกจ Kestrel Core เป็นเวอร์ชัน 2.3.6 แล้ว recompile และ redeploy
✅ วิธีแก้ไขสำหรับแอปแบบ self-contained/single-file
➡️ ติดตั้งอัปเดต .NET แล้ว recompile และ redeploy
✅ Barry Dorrans ระบุว่าคะแนนความรุนแรงอิงจากกรณีเลวร้ายที่สุด
➡️ เพราะขึ้นอยู่กับว่าแต่ละแอปเขียนมาอย่างไร
https://www.techradar.com/pro/security/microsoft-fixes-one-of-its-highest-ever-rated-security-flaws-heres-what-happened
0 ความคิดเห็น
0 การแบ่งปัน
38 มุมมอง
0 รีวิว
English