Microsoft lançou uma atualização de emergência para corrigir uma falha crítica no ASP.NET Core, componente amplamente usado em sites e aplicações corporativas. A vulnerabilidade, identificada como CVE-2025-55315, recebeu pontuação CVSS 9,9, o que a coloca entre as mais graves já registradas na plataforma. O problema foi localizado no servidor web Kestrel, responsável por processar requisições HTTP no framework .NET. A falha permite ataques do tipo request smuggling, técnica que explora inconsistências na forma como servidores interpretam cabeçalhos de requisição, permitindo que um invasor oculte comandos maliciosos dentro de solicitações legítimas.
Com essa técnica, criminosos podem burlar autenticações, manipular sessões de usuário e executar ações administrativas sem autorização. Dependendo da configuração do servidor, o ataque pode levar ao roubo de credenciais, injeção de código ou até comprometimento total da aplicação web. Segundo a Microsoft, o erro afeta todas as versões do ASP.NET Core, incluindo 8.0, 9.0 e 10.0 (pré-lançamento). A correção foi distribuída por meio de uma atualização cumulativa do .NET SDK e também como patch específico para o pacote Kestrel.Core versão 2.3.6, disponível via NuGet. Embora não haja evidências de exploração ativa, a vulnerabilidade foi classificada como “crítica e de alta probabilidade de uso futuro”, dada a popularidade do ASP.NET Core em aplicações de e-commerce, bancos e serviços em nuvem. Especialistas alertam que o risco é maior em ambientes corporativos expostos à internet sem filtragem de proxy ou WAF.
A empresa recomenda que desenvolvedores e administradores apliquem a atualização imediatamente, especialmente em servidores que hospedam APIs e sistemas de login. Também é recomendada a revisão de políticas de cabeçalhos HTTP e a implementação de validações adicionais no código da aplicação para mitigar ataques de injeção. O incidente reforça a importância de manter frameworks e bibliotecas atualizados, já que componentes de alto uso como o ASP.NET Core se tornaram alvos recorrentes de exploração em cadeia de suprimentos.
