Vulnerabilità CVE-2025-55315

Vulnerabilità CVE-2025-55315

La vulnerabilità CVE-2025-55315 è una falla critica di tipo HTTP request smuggling / security feature bypass che interessa il server web Kestrel incluso in ASP.NET Core. Scoperta e divulgata pubblicamente il 14 ottobre 2025, la vulnerabilità ha ricevuto un punteggio CVSS v3.1 molto elevato (9.9) per il suo potenziale impatto sulla confidenzialità, integrità e disponibilità delle applicazioni esposte.

Che cosa è successo e quando – Vulnerabilità CVE-2025-55315

Il 14 ottobre 2025 Microsoft ha registrato e pubblicato un advisory relativo a un’interpretazione incoerente delle richieste HTTP nel componente Microsoft.AspNetCore.Server.Kestrel.Core. Il problema consente a un attaccante — in alcuni scenari autenticato (privilegio richiesto nell’intestazione della CVE) — di “smuggla­re” una seconda richiesta HTTP all’interno del corpo di una richiesta legittima, bypassando controlli e filtri posti a protezione dall’infrastruttura. Tale tecnica può portare all’esposizione di credenziali, modifica non autorizzata di contenuti e persino crash del server nel peggiore dei casi.

Cosa è stato attaccato e come

La superficie interessata è Kestrel, il server HTTP cross-platform usato dalle applicazioni ASP.NET Core. Sono riportate come affette le versioni delle family .NET moderne (8.x, 9.x, 10.x pre-release) e anche build legacy che utilizzano pacchetti specifici (es. .NET 2.3 su Windows) a seconda della configurazione dell’ambiente e del deployment. L’attacco sfrutta differenze nel parsing delle intestazioni/limiti del corpo tra componenti della pipeline HTTP (client ↔ proxy ↔ load balancer ↔ Kestrel), che possono permettere l’inserimento di una seconda richiesta che passa inosservata a certi layer. Questo è il cuore del request smuggling: interpretazioni discordanti di Content-Length e Transfer-Encoding o di terminatori di riga consentono di atomizzare la stream HTTP in modo malevolo.

Impatti principali

• Confidenzialità: potenziale esposizione di dati sensibili (token, cookie, credenziali) se l’attaccante riesce a routingare una seconda richiesta verso risorse interne.
• Integrità: possibilità di modificare file o contenuti serviti dall’applicazione quando la seconda richiesta viene accettata e processata.
• Disponibilità: crash o denial of service se la richiesta smuggled induce condizioni non gestite nel server.

Microsoft e vari vendor cloud/OS hanno pubblicato aggiornamenti e mitigazioni; molte piattaforme di hosting stanno anche applicando patch lato load-balancer per ridurre l’esposizione delle istanze.

Come difendersi — indicazioni pratiche per sviluppatori e sistemisti

1. Applicare patch immediatamente. La prima e più efficace misura è aggiornare ASP.NET Core / Kestrel alle versioni corrette indicate nell’advisory Microsoft (seguire le istruzioni MSRC / Update Guide). I vendor hanno rilasciato patch e molte piattaforme cloud (es. Azure App Service) stanno distribuendo hotfix lato infrastruttura.

2. Validare e normalizzare le richieste all’ingresso. Inserire middleware che controlli coerenza tra Content-Length, Transfer-Encoding, e header sospetti. Di seguito un esempio difensivo minimale in C# (middleware) che rifiuta richieste con header incongruenti:

// Middleware difensivo minimale (esempio)
public class RequestHeaderValidationMiddleware
{
    private readonly RequestDelegate _next;
    public RequestHeaderValidationMiddleware(RequestDelegate next) => _next = next;

    public async Task Invoke(HttpContext context)
    {
        var hasContentLength = context.Request.Headers.ContainsKey("Content-Length");
        var hasTransferEncoding = context.Request.Headers.ContainsKey("Transfer-Encoding");

        // semplice check: non permettere sia Content-Length che Transfer-Encoding contemporaneamente
        if (hasContentLength && hasTransferEncoding)
        {
            context.Response.StatusCode = StatusCodes.Status400BadRequest;
            await context.Response.WriteAsync("Bad Request");
            return;
        }

        // ulteriori validazioni (lunghezze, terminatori, ecc.) possono essere aggiunte qui

        await _next(context);
    }
}

Questo snippet non è una panacea, ma rappresenta una pratica difensiva: normalizzare la ricezione delle richieste, loggare e bloccare pattern sospetti prima che raggiungano logiche business critiche.

3. Hardening della rete e dei proxy. Configurare i reverse proxy / WAF per normalizzare le intestazioni e bloccare richieste con header contraddittori. Dove possibile, abilitare TLS end-to-end e applicare controlli di integrità a livello di front-end.

4. Test e monitoraggio. Aggiornare i test di integrazione e i tool di scanning (nuclei, scanners commerciali) per rilevare pattern di request smuggling; applicare intrusion detection e regole di logging per individuare anomalie nel traffico HTTP. Progetti open source e community hanno già iniziato a pubblicare template e detection rules per questa CVE.

Esempio di aggiornamento del package (.csproj)

<!-- Esempio: aggiornare il package Kestrel alla versione patched -->
<ItemGroup>
  <PackageReference Include="Microsoft.AspNetCore.App" Version="8.0.0" />
  <!-- oppure specificare il package Kestrel se si usa una versione autonoma -->
  <PackageReference Include="Microsoft.AspNetCore.Server.Kestrel.Core" Version="2.3.6" />
</ItemGroup>

Seguite le versioni consigliate dall’advisory ufficiale; ricompilate e ridistribuite l’applicazione dopo l’aggiornamento.

Conclusione Vulnerabilità CVE-2025-55315 — formazione e cultura della sicurezza

CVE-2025-55315 dimostra che la sicurezza non è un optional: vulnerabilità di parsing/normalizzazione possono compromettere applicazioni anche quando il codice business è “sicuro”. La risposta efficace combina patching tempestivo, hardening dell’infrastruttura, test dedicati e — soprattutto — formazione continua del team IT e degli sviluppatori. Solo un team aggiornato e addestrato può riconoscere pattern di attacco emergenti, introdurre contromisure efficaci e mantenere processi di deploy sicuri.

Per questo motivo raccomandiamo i percorsi formativi di Innovaformazione:

• Corso Cyber Security & Kali Linux
• Corso OWASP — Sicurezza Web App

• Corso DevSecOps

Corsi rivolti ad aziende, erogati in modalità online (classe virtuale) con possibilità di accedere ai fondi Fondimpresa per la formazione gratuita dei dipendenti. Per informazioni e iscrizioni: info@innovaformazione.net — tel. 3471012275 (Dario Carrassi).

(fonte) (fonte) (fonte) (fonte)