Microsoft, ASP.NET Core’un Kestrel web sunucusunda keşfedilen ve şimdiye kadarki en yüksek önem derecesiyle işaretlenen kritik güvenlik açığını (CVE-2025-55315) yamaladı. Bu açık, saldırganların kimlik bilgilerini çalmasına, güvenlik kontrollerini atlatmasına ve hatta sunucuyu çökertmesine yol açabiliyor.

Microsoft, bu haftaki güvenlik güncellemeleri kapsamında ASP.NET Core’un Kestrel web sunucusunda keşfedilen kritik bir güvenlik açığını kapattı. CVE-2025-55315 koduyla takip edilen bu açık, ASP.NET Core güvenlik kusurları içinde şimdiye kadar en yüksek önem derecesiyle işaretlendi.

Söz konusu açık bir HTTP Request Smuggling (HTTP istek kaçakçılığı) zafiyeti ve saldırganların oturumları ele geçirmesine, ön uç güvenlik kontrollerini atlatmasına ve hatta sunucuda kritik işlemler yapmasına olanak tanıyor.

Açığın Etkileri

Microsoft’un yayınladığı güvenlik danışmanlığına göre bu açığın istismar edilmesi durumunda:

  • Gizlilik ihlali: Saldırganlar diğer kullanıcıların kimlik bilgilerini görebilir.

  • Bütünlük ihlali: Dosya içerikleri üzerinde değişiklik yapılabilir.

  • Kullanılabilirlik riski: Sunucunun çökertilmesi sağlanabilir.

Bu nedenle açık, sistemleri doğrudan etkileyebilecek en kritik zafiyetlerden biri olarak değerlendiriliyor.

Kimler Etkileniyor?

Açığın etkisi, kullanılan ASP.NET Core sürümüne ve uygulamanın nasıl yazıldığına bağlı.

  • Eğer uygulama, oturum yönetimi veya doğrulama adımlarında zayıf noktalara sahipse saldırganlar farklı bir kullanıcı gibi oturum açabilir (privilege escalation).

  • Sunucu tarafında SSRF (Server-Side Request Forgery) saldırıları yapılabilir.

  • CSRF kontrolleri bypass edilebilir ve enjeksiyon saldırılarına zemin hazırlanabilir.

Microsoft’un Güvenlik Program Yöneticisi Barry Dorrans, “Bu açığın istismarı uygulamanızın nasıl yazıldığına bağlı. En kötü senaryoyu değerlendirerek puanlama yaptık. Bazı uygulamalarda bu etkiler görülebilir, bazılarında ise görülmeyebilir. Ama sonuç olarak herkesin güncelleme yapması gerekiyor.” dedi.

Çözüm ve Güncellemeler

Microsoft, bu açığı gidermek için geniş kapsamlı yamalar yayınladı. Geliştiriciler ve sistem yöneticilerinin aşağıdaki adımları uygulaması gerekiyor:

  • .NET 8 ve üzeri sürümlerde:
    Microsoft Update üzerinden .NET güncellemesini yükleyin, ardından uygulamanızı yeniden başlatın veya sunucuyu yeniden başlatın.

  • .NET 2.3 sürümü için:
    Microsoft.AspNet.Server.Kestrel.Core paketini 2.3.6 sürümüne yükseltin, uygulamayı yeniden derleyin ve tekrar dağıtın.

  • Self-contained / single-file uygulamalar için:
    .NET güncellemesini yükleyin, uygulamayı yeniden derleyin ve tekrar dağıtın.

Güncellemeler şu ürünler için yayınlandı:

  • Microsoft Visual Studio 2022

  • ASP.NET Core 2.3, 8.0 ve 9.0

  • Microsoft.AspNetCore.Server.Kestrel.Core paketi (ASP.NET Core 2.x uygulamaları için)

Patch Tuesday Detayları

Microsoft’un bu ayki Patch Tuesday kapsamında toplam 172 güvenlik açığı kapatıldı. Bunlardan 8’i “Kritik” seviyede, 6’sı ise sıfır gün (zero-day) açığıydı. Bu sıfır gün açıklarının 3’ü aktif olarak istismar ediliyordu.

Ayrıca Microsoft, Windows 10 için KB5066791 güncellemesini de yayınladı. Bu, Windows 10’un destek ömrünün sonuna gelmesiyle birlikte son güvenlik güncellemelerini içeren toplu paket oldu.

Sonuç

CVE-2025-55315, ASP.NET Core ekosisteminde bugüne kadar görülmüş en yüksek önem derecesine sahip açık olarak tarihe geçti. Her ne kadar istismarın etkisi uygulamaya bağlı olsa da Microsoft, tüm geliştiricilerin ve sistem yöneticilerinin vakit kaybetmeden güncellemeleri uygulaması gerektiğini vurguluyor.

Kısacası, uygulamanızda ekstra güvenlik önlemleri olsa bile bu yamaları yüklemeden güvenlik riskini tamamen ortadan kaldırmanız mümkün değil.