СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Уязвимости
ФСТЭК России
15.10.2025

Уязвимость BDU:2025-13247

Уязвимость BDU:2025-13247

Идентификатор: BDU:2025-13247.

Наименование уязвимости: Уязвимость программной платформы ASP.NET Core, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю обойти существующие ограничения безопасности.

Описание уязвимости: Уязвимость программной платформы ASP.NET Core связана с недостатками обработки HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности
Уязвимое ПО: Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Прикладное ПО информационных систем Microsoft Corp Microsoft Visual Studio 2022 от 17.14 до 17.14.17 | Прикладное ПО информационных систем Microsoft Corp Microsoft Visual Studio 2022 от 17.10 до 17.10.20 | Прикладное ПО информационных систем Microsoft Corp Microsoft Visual Studio 2022 от 17.12 до 17.12.13 | Прикладное ПО информационных систем Microsoft Corp ASP.NET Core от 6.0.0 до 6.0.36 включительно | Прикладное ПО информационных систем Microsoft Corp ASP.NET Core от 8.0.0 до 8.0.20 включительно | Прикладное ПО информационных систем Microsoft Corp ASP.NET Core от 9.0.0 до 9.0.9 включительно |

Наименование ОС и тип аппаратной платформы: РЕД ОС 73 |
Дата выявления: 15.10.2025.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:P
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,7)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,9)
Нет опасности уровень опасности (оценка CVSS 4.0 составляет 0)

Возможные меры по устранению:
Использование рекомендаций производителя:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-55315

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-dotnet-sdk-8-0-cve-2025-55247-cve-2025-55248-cve-2025-55315/?sphrase_id=1338954.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2025-55315.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://andrewlock.net/understanding-the-worst-dotnet-vulnerability-request-smuggling-and-cve-2025-55315/
https://gist.github.com/N3mes1s/d0897c13ca199e739ecc2b562f466040
https://github.com/7huukdlnkjkjba/CVE-2025-55315-
https://github.com/dotnet/announcements/issues/371
https://github.com/dotnet/aspnetcore
https://github.com/dotnet/aspnetcore/security/advisories/GHSA-5rrx-jjjq-q2r5
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-55315
https://nvd.nist.gov/vuln/detail/CVE-2025-55315
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-dotnet-sdk-8-0-cve-2025-55247-cve-2025-55248-cve-2025-55315/?sphrase_id=1338954

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: