CVE-2025-55315: vulnerabilidad crítica en Kestrel permitía robar sesiones y eludir filtros; Microsoft publica parche urgente

Microsoft solucionó una vulnerabilidad peligrosa en el servidor web Kestrel para ASP.NET Core. Fue identificada como CVE-2025-55315 y corresponde al tipo HTTP request smuggling (en la práctica hispanohablante — reenvío de solicitudes HTTP). La falla permite a un atacante autenticado "incrustar" una solicitud adicional y con ello interceptar sesiones ajenas o eludir filtros de seguridad externos. En la descripción oficial se indica que el ataque puede provocar la filtración de datos confidenciales, incluidas credenciales de usuarios, la modificación de archivos en el servidor y fallos en su funcionamiento que afectan la disponibilidad del recurso.

Para cerrar la brecha, Microsoft preparó recomendaciones claras para distintas versiones de la plataforma y métodos de despliegue. Los usuarios de .NET 8 y versiones posteriores deben instalar la actualización mediante Microsoft Update y luego reiniciar la aplicación o simplemente reiniciar el equipo. Para ASP.NET Core 2.3 es necesario actualizar la referencia al paquete Microsoft.AspNet.Server.Kestrel.Core a la versión 2.3.6, reconstruir el proyecto y publicarlo de nuevo. En la documentación complementaria se indica aparte que para la rama 2.x también hay que actualizar el paquete Microsoft.AspNetCore.Server.Kestrel.Core —y de nuevo recompilar y desplegar la aplicación. En el caso de aplicaciones autónomas o de un solo archivo los pasos son los mismos: instalar la actualización de la plataforma, reconstruir y reinstalar los ejecutables. Al mismo tiempo se publicaron parches de seguridad para Microsoft Visual Studio 2022, ASP.NET Core 2.3, 8.0 y 9.0.

Barry Dorrans, gerente del programa de seguridad de .NET, explicó que las consecuencias de la explotación dependen de la arquitectura de la aplicación web concreta. Potencialmente, la vulnerabilidad permite a un atacante autenticarse como otro usuario, iniciar solicitudes internas ocultas que implementen SSRF, eludir la protección contra CSRF o ejecutar inyecciones. La evaluación del riesgo se hizo según el peor escenario, como security feature bypass, en el que se afectan los mecanismos de protección integrados. Aunque la probabilidad de ese escenario en proyectos comunes es baja si la validación de solicitudes es correcta, Microsoft recomienda enfáticamente que todos los usuarios instalen las actualizaciones.

El ciclo de parches de octubre de Microsoft resultó especialmente grande: la empresa publicó parches para 172 vulnerabilidades, de las cuales ocho fueron catalogadas como críticas y seis correspondían a zero-day —tres de ellas ya se habían usado activamente en ataques. En ese mismo periodo también se publicó el paquete KB5066791 —una actualización acumulativa que incluye parches de seguridad finales para Windows 10 debido al fin de su soporte oficial.