QNAP предупреждает пользователей о необходимости обновления ASP.NET Core, чтобы устранить критическую уязвимость типа контрабанда HTTP-запросов, известную как CVE-2025-55315, которая может повлиять на агента NetBak PC.
Устранение уязвимости в ASP.NET Core
Что изменилось и кого касается
Уязвимость CVE-2025-55315 в Kestrel, входящей в состав ASP.NET Core, имеет оценку CVSS 9.9. Она позволяет неавторизованным злоумышленникам внедрять дополнительные HTTP-запросы в первоначальный запрос, что может привести к несанкционированному доступу к конфиденциальным данным, изменению файлов на сервере или отказу в обслуживании. Программа NetBak PC Agent, которая устанавливает компоненты ASP.NET Core, может быть затронута.
Методы обновления и доступность
QNAP настоятельно рекомендует пользователям убедиться, что их системы Windows имеют установлены последние обновления Microsoft ASP.NET Core. Есть два метода обновления: переустановка агента NetBak PC (удаление и установка последней версии) или ручное обновление ASP.NET Core путем загрузки и установки последнего пакета .NET 8.0 ASP.NET Core Runtime (Hosting Bundle). Сообщается, что актуальная версия на октябрь 2025 года — это 8.0.21.
Дополнительные обновления безопасности
Кроме того, Microsoft выпустила обновления безопасности для Visual Studio 2022, ASP.NET Core версий 2.3, 8.0 и 9.0, а также для пакета Microsoft.AspNetCore.Server.Kestrel.Core для ASP.NET Core версии 2.x. После установки обновлений рекомендуется перезапустить приложение или всю систему.
