Microsoft corrige falha crítica de 9,9 no ASP.NET Core: Servidor Kestrel permitia 'Contrabando de Solicitações'

A Microsoft anunciou a correção de uma vulnerabilidade no ASP.NET Core classificada com a pontuação CVSS (Common Vulnerability Scoring System) de 9,9, que o gerente de programa de segurança Barry Dorrans descreveu como "a mais alta de todos os tempos" para o produto. A falha reside no componente do servidor web Kestrel e, se explorada por um hacker, permite o bypass de segurança.

O problema, tecnicamente conhecido como "contrabando de solicitações" (request smuggling), permite que uma solicitação HTTP secundária seja habilmente ocultada dentro de outra. Isso é particularmente perigoso porque a solicitação contrabandeada pode contornar as verificações de autenticação ou segurança impostas à primeira solicitação.

Dorrans explicou que o risco de uma solicitação contrabandeada é elevado, podendo executar ações como efetuar login como um usuário diferente, contornar verificações de falsificação de solicitação entre sites (CSRF) ou realizar ataques de injeção. No entanto, ele ressaltou que os riscos dependem da maneira como o aplicativo foi codificado. "Resultados ruins são improváveis," disse ele, "a menos que o código do seu aplicativo esteja fazendo algo estranho e ignore uma série de verificações que deveria fazer em cada solicitação."

A altíssima classificação CVSS para a vulnerabilidade, catalogada como CVE-2025-55315, causou certa perplexidade na comunidade de desenvolvedores. Dorrans esclareceu que, embora o risco real para a maioria dos aplicativos ASP.NET Core possa não ser tão alto, a Microsoft pontua o problema com base no pior cenário de exploração possível — "um desvio de recurso de segurança que altera o escopo" da aplicação.

Questionado pelos desenvolvedores sobre o que especificamente constituiria um código de aplicativo vulnerável, o gerente do programa de segurança foi cauteloso. Ele indicou que "qualquer coisa que faça algo com uma solicitação pode ser problemática" e que "um aplicativo que faz autenticação e tem regras de acesso baseadas nessa autenticação pode ser vulnerável." Ele enfatizou que se tratava de uma opinião pessoal, e não de uma declaração oficial.

O Kestrel é o servidor web integrado ao ASP.NET Core e é amplamente adotado, tanto exposto diretamente quanto por trás de um proxy reverso. Dorrans afirmou que, se um gateway ou proxy intermediário for capaz de remover solicitações contrabandeadas, a aplicação estará protegida.

A abordagem mais prudente e recomendada é que os desenvolvedores apliquem o patch de segurança o mais rápido possível, mas Dorrans alertou: "só você pode avaliar os riscos para seu aplicativo."

A vulnerabilidade é considerada antiga e afeta todas as versões suportadas do ASP.NET Core, incluindo as versões 8, 9 e a versão de pré-lançamento 10, além do ASP.NET Core 2.3, que roda no .NET Framework exclusivo para Windows.

Os desenvolvedores têm duas principais vias de correção: baixar a versão mais recente do .NET SDK ou atualizar para a versão mais recente do pacote Kestrel.Core (2.3.6) por meio do gerenciador de pacotes NuGet.

Uma complicação importante é para muitos aplicativos que são implantados no modelo dependente de framework, que exige que o ambiente .NET no servidor seja atualizado, não apenas o aplicativo em si.

Embora essa dependência possa ser contornada por meio de uma implantação autocontida (que inclui os arquivos de tempo de execução), todos os aplicativos desse tipo precisariam ser refeitos e atualizados.

O relatório oficial da Microsoft, por fim, afirma que não há informações sobre a exploração ativa desta vulnerabilidade por hackers até o momento.

Via - TR