CVE-2025-55315

1 minute de lecture

Mis à jour : October 31, 2025

Dégâts de Kestrel : Contournement de sécurité et failles d’injection

Une faille de sécurité, identifiée sous la référence CVE-2025-55315, impacte ASP.NET Core, plus précisément son serveur web Kestrel. Ce problème découle d’une interprétation incohérente des requêtes HTTP, permettant le “ HTTP request smuggling “ (contrebande de requêtes HTTP).

Un attaquant non authentifié peut exploiter cette vulnérabilité pour contourner des mesures de sécurité. Les conséquences potentielles incluent l’exposition d’informations sensibles (identifiants utilisateurs), la modification de fichiers sur le serveur, voire un crash du serveur. Les actions réalisables par un attaquant vont de l’usurpation d’identité à la falsification de requêtes côté serveur, en passant par le contournement des protections contre le CSRF et des attaques par injection.

Points clés :

Nature de la vulnérabilité : HTTP request smuggling dû à une interprétation inconsistante des requêtes HTTP.
Composant affecté : Serveur web Kestrel d’ASP.NET Core.
Acteur potentiel : Attaquant non authentifié.

Vulnérabilités (avec CVE) :

CVE-2025-55315 : Permet le HTTP request smuggling.

Recommandations :

Microsoft a publié des mises à jour de sécurité pour diverses versions d’ASP.NET Core afin de corriger cette vulnérabilité. Il est crucial d’appliquer ces correctifs.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-55315

Dégâts de Kestrel : Contournement de sécurité et failles d’injection

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast