Dutch IT Chanel Logo mobile
Search icon
Witold Kepinski - 17 oktober 2025

Microsoft ASP.NET Core kwetsbaarheid: aanvallers kunnen security omzeilen

Microsoft heeft een nieuwe beveiligingskwetsbaarheid in ASP.NET Core openbaar gemaakt die het mogelijk maakt voor geautoriseerde aanvallers om cruciale beveiligingsfuncties te omzeilen. De kwetsbaarheid, geïdentificeerd als CVE-2025-55315, wordt als 'Belangrijk' geclassificeerd en heeft een hoge impact op de vertrouwelijkheid en integriteit van gegevens.

Security Cybersecurity Software
Microsoft ASP.NET Core kwetsbaarheid: aanvallers kunnen security omzeilen image

Wat is de kwetsbaarheid?

De kwetsbaarheid berust op een "Inconsistent Interpretation of HTTP Requests", een vorm van 'HTTP Request/Response Smuggling' (CWE-444). Simpel gezegd, een geautoriseerde aanvaller kan via het netwerk een kwaadaardig HTTP-verzoek versturen. Door deze inconsistentie in de interpretatie van het HTTP-verzoek is het mogelijk om:

  • Een ander HTTP-verzoek te smokkelen en front-end beveiligingscontroles te omzeilen.
  • Inloggegevens (credentials) van andere gebruikers te kapen.

Het succesvol exploiteren van de kwetsbaarheid kan leiden tot een 'High' verlies van vertrouwelijkheid (inzage in gevoelige informatie, zoals inloggegevens van andere gebruikers) en integriteit (wijzigingen aan bestanden op de server) en een 'Low' verlies van beschikbaarheid (mogelijkheid om een crash in de server te forceren).

De impact wordt extra benadrukt door de Scope Change (S:C)-metriek. Dit betekent dat de kwetsbaarheid middelen kan beïnvloeden die buiten de beveiligingsscope van het kwetsbare component vallen, waardoor componenten die door andere beveiligingsinstanties worden beheerd, in gevaar komen.

De maximale CVSS 3.1-score bedraagt 9.9, maar de initiële exploitabiliteitsscore van Microsoft is vastgesteld op 8.6 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L/E:U/RL:O/RC:C).

Exploitatiedetails en risico

De aanvalsvector vereist dat de aanvaller over lage rechten (Low Privileges) beschikt, maar de aanvalscomplexiteit is laag. Hoewel de exploit code maturity op dit moment als 'Unproven' wordt beoordeeld en Microsoft de kans op exploitatie als 'Less Likely' inschat ten tijde van publicatie, wordt de ernstige impact van succesvolle exploitatie door het bedrijf erkend.

De kwetsbaarheid is op het moment van de melding nog niet publiek bekendgemaakt en er zijn geen meldingen van actieve misbruik in het wild.

Oplossing en advies

Microsoft dringt er bij ontwikkelaars op aan onmiddellijk actie te ondernemen om hun ASP.NET Core-applicaties te beschermen. Er is een officiële fix beschikbaar:

  • Voor .NET 8 en hoger: Installeer de .NET update via Microsoft Update en herstart de applicatie of herstart de machine.
  • Voor .NET 2.3: Ontwikkelaars moeten de pakketreferentie voor Microsoft.AspNet.Server.Kestrel.Core bijwerken naar 2.3.6. De applicatie moet vervolgens opnieuw worden gecompileerd en opnieuw worden geïmplementeerd.
  • Self-contained/Single-file applicaties: Installeer de .NET update, hercompileer de applicatie en herimplementeer.

Microsoft bedankt de beveiligingsgemeenschap voor de gecoördineerde melding en hulp bij het beschermen van klanten.

Copaco CopaCoins Axians BN BW september oktober 2025

Dutch IT events

Event icon

Event

Dutch IT Security Day op 18 juni 2025

Event icon

Event

Dutch IT Channel Awards 2025

Alle events
Kaseye Connect Connect BN

Over Witold Kepinski

Witold Kepinski

Witold Kepinski (1969) is Bestuurder, Editor-in-Chief en Director Content van Dutch IT Channel en Dutch IT Leaders. Witold Kepinski is 25 jaar actief in de IT Media en Tech Business branche

Witold Kepinski geeft met een gespecialiseerd team van redacteuren, bloggers en videomakers inzicht in tech business trends en toepassingen waarmee IT-beslissers en Channel Partners impact maken.

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!