10 月 28 日消息,科技媒体 bleepingcomputer 昨日(10 月 27 日)发布博文,报道称威联通(QNAP)发布紧急警告,其 Windows 备份工具 NetBak PC Agent 受一个关键的 ASP.NETCore 漏洞(CVE-2025-55315)影响,并敦促用户立即采取措施进行修补。
援引博文介绍,该漏洞的编号为 CVE-2025-55315,是一个存在于 Kestrel ASP.NETCore Web 服务器中的安全绕过漏洞。
威联通解释称,由于 NetBak PC Agent 在安装时会捆绑并依赖 ASP.NETCore 组件,因此未及时更新 Windows 系统的用户设备可能正暴露于风险之中。
利用此漏洞,低权限攻击者可发起“HTTP 请求走私”攻击,其潜在后果十分严重,包括劫持其他用户凭据、绕过前端安全控制等。据微软安全技术项目经理透露,该漏洞被评为 ASP.NETCore 历史上严重等级“有史以来最高”的漏洞。
威联通进一步补充,一旦攻击者成功利用该漏洞,便能以其他用户身份登录(实现权限提升)、绕过跨站请求伪造(CSRF)保护、执行注入攻击。更严重的是,攻击者甚至可能未经授权访问敏感数据、修改服务器文件或导致有限的拒绝服务,直接威胁个人和企业的数据安全。
威联通强烈建议用户尽快确保其 Windows 系统已安装最新的微软 ASP.NETCore 更新。官方提供了两种修复方案:
一是彻底重新安装 NetBak PC Agent 应用,以自动获取更新后的组件;
二是访问微软 .NET 8.0 官网,手动下载并安装最新的 ASP.NETCore 运行时(Hosting Bundle)。
文章来源:
IT之家
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至23467321@qq.com举报,一经查实,本站将立刻删除;如已特别标注为本站原创文章的,转载时请以链接形式注明文章出处,谢谢!
