A Microsoft emitiu um alerta urgente sobre uma vulnerabilidade crítica identificada como CVE-2025-55315, classificada com a mais alta gravidade já registrada no ASP.NET Core. O problema afeta diretamente o servidor web Kestrel, usado por milhões de aplicações em todo o mundo, e pode permitir que invasores explorem falhas na manipulação de requisições HTTP.
Esta falha ASP.NET Core representa um risco significativo, pois possibilita ataques de HTTP request smuggling, técnica capaz de burlar mecanismos de segurança e comprometer tanto dados quanto servidores. Neste artigo, você entenderá o que é essa vulnerabilidade, quem está em risco e o passo a passo recomendado pela Microsoft para aplicar a correção de forma segura.
Com o .NET sendo uma plataforma multiplataforma, o impacto se estende além do Windows: aplicações hospedadas em servidores Linux também estão vulneráveis, o que amplia o alcance e a gravidade do problema.
O que é a vulnerabilidade CVE-2025-55315?
A vulnerabilidade CVE-2025-55315 foi descoberta no Kestrel, o servidor web padrão do ASP.NET Core, conhecido por seu alto desempenho e integração nativa com a estrutura do .NET.
O problema está relacionado à forma como o Kestrel processa requisições HTTP malformadas. Em determinadas circunstâncias, o servidor pode interpretar incorretamente múltiplas solicitações como uma única, abrindo uma brecha para manipulações indevidas.
Essa falha é particularmente perigosa porque afeta o nível fundamental de comunicação entre cliente e servidor, tornando difícil detectar ataques até que já tenham causado danos.
Entendendo o ataque de http request smuggling
Um ataque de HTTP request smuggling (ou “contrabando de requisições HTTP”) ocorre quando o invasor engana o servidor para processar uma requisição de maneira incorreta, geralmente ao manipular cabeçalhos como Content-Length e Transfer-Encoding.
O resultado é que duas ou mais requisições distintas são tratadas como uma só, permitindo ao invasor injetar comandos que passam despercebidos por firewalls e proxies.
Na prática, isso pode permitir que um atacante:
- Acesse informações sensíveis de outros usuários;
- Intercepte credenciais ou cookies de sessão;
- Bypasse regras de autenticação e controle de acesso;
- Execute ações não autorizadas dentro da aplicação.
Esse tipo de ataque é extremamente perigoso em ambientes de alta carga e microserviços, onde múltiplas requisições são processadas simultaneamente.
Quais são os riscos reais?
Segundo a Microsoft, os impactos diretos da falha ASP.NET Core CVE-2025-55315 podem incluir:
- Quebra de confidencialidade: acesso indevido a dados de usuários e sessões ativas;
- Comprometimento da integridade: modificação de conteúdos e respostas HTTP;
- Perda de disponibilidade: possibilidade de travamento ou queda total do servidor.
Em cenários corporativos, isso significa roubo de dados sensíveis, exfiltração de informações e até o controle total do servidor se a vulnerabilidade for combinada com outras falhas conhecidas.
Quem precisa se preocupar e como corrigir a falha no ASP.NET Core?
Se sua aplicação foi construída com ASP.NET Core e utiliza o Kestrel em versões vulneráveis, você está em risco. Isso inclui aplicações hospedadas tanto em Windows quanto em Linux.
A Microsoft recomenda atualizações imediatas, especialmente em ambientes de produção e servidores expostos à internet.
Verificando as versões afetadas
As versões impactadas pela CVE-2025-55315 são:
- .NET 8
- .NET 2.3
- ASP.NET Core 9.0 (prévia)
Se sua aplicação utiliza qualquer uma dessas versões, é essencial aplicar os patches liberados pela Microsoft sem demora.
Passo a passo para a atualização e proteção
A Microsoft detalhou as ações recomendadas para cada cenário:
- Para .NET 8 ou superior:
- Instale as atualizações mais recentes via Microsoft Update;
- Reinicie sua aplicação após a atualização.
- Para .NET 2.3:
- Atualize o pacote Microsoft.AspNet.Server.Kestrel.Core para a versão 2.3.6;
- Recompile e reimplante a aplicação.
- Para aplicações self-contained (independentes):
- Instale a atualização mais recente do .NET SDK;
- Recompile e reimplante a aplicação com o runtime corrigido.
Além disso, recomenda-se revisar logs de requisições recentes em busca de comportamentos anômalos, especialmente em APIs públicas.
O impacto para a comunidade e o alerta da Microsoft
O gerente de segurança do .NET, Barry Dorrans, destacou que o impacto da vulnerabilidade pode variar conforme a arquitetura da aplicação, mas que a classificação de severidade reflete o pior cenário possível.
Segundo Dorrans, “por favor, atualize” — uma mensagem curta, mas clara: a inação pode ser fatal para a segurança da sua infraestrutura.
A correção do CVE-2025-55315 foi incluída no mais recente Patch Tuesday da Microsoft, reforçando o compromisso da empresa em corrigir falhas de forma proativa. Ainda assim, o tempo de resposta dos administradores é o fator decisivo entre manter os sistemas seguros ou expostos a ataques.
A comunidade .NET já discute as implicações dessa falha, que reacende o debate sobre melhores práticas de segurança em APIs REST e serviços web de alta performance.
Conclusão: a lição sobre a importância de atualizações de segurança
A vulnerabilidade CVE-2025-55315 no ASP.NET Core é um lembrete poderoso de que segurança não é opcional. Em um cenário onde servidores web estão cada vez mais expostos, adiar uma atualização pode significar abrir as portas para invasores.
Esta falha ASP.NET Core é considerada a mais grave já registrada no ecossistema .NET — e exige ação imediata.
Não espere para se tornar uma vítima.
Verifique suas aplicações, confirme as versões utilizadas e aplique as atualizações de segurança agora mesmo. A proteção da sua infraestrutura depende da rapidez com que você age.
